प्लेटफ़ॉर्म
nodejs
घटक
dns-sync
में ठीक किया गया
0.1.1
CVE-2014-9682 एक कमांड इंजेक्शन भेद्यता है जो dns-sync मॉड्यूल में पाई गई है, जो Node.js के लिए एक लाइब्रेरी है। यह भेद्यता हमलावरों को मनमाना कमांड निष्पादित करने की अनुमति देती है, जिससे संभावित रूप से सिस्टम पर पूर्ण नियंत्रण हो सकता है। यह भेद्यता dns-sync मॉड्यूल के 0.1.1 से पहले के संस्करणों को प्रभावित करती है। इस समस्या को ठीक करने के लिए, मॉड्यूल को 0.1.1 या उच्चतर संस्करण में अपग्रेड करने की सिफारिश की जाती है।
यह भेद्यता एक हमलावर को Node.js एप्लिकेशन सर्वर पर मनमाना कमांड निष्पादित करने की अनुमति देती है, यदि वे resolve API फ़ंक्शन के पहले तर्क में शेल मेटाकैरेक्टरों का सफलतापूर्वक शोषण कर सकते हैं। यह शोषण सिस्टम पर पूर्ण नियंत्रण प्राप्त करने, संवेदनशील डेटा तक पहुंचने या दुर्भावनापूर्ण सॉफ़्टवेयर स्थापित करने के लिए इस्तेमाल किया जा सकता है। भेद्यता की गंभीरता को देखते हुए, इसका शोषण व्यापक क्षति का कारण बन सकता है। इस भेद्यता का शोषण करने के लिए, एक हमलावर को पहले Node.js एप्लिकेशन सर्वर तक पहुंच प्राप्त करने की आवश्यकता होगी जो dns-sync मॉड्यूल के असुरक्षित संस्करण का उपयोग कर रहा है। फिर, वे resolve API फ़ंक्शन को शेल मेटाकैरेक्टरों के साथ एक विशेष रूप से तैयार किए गए इनपुट के साथ कॉल कर सकते हैं, जो सर्वर पर मनमाना कमांड निष्पादित करेगा।
CVE-2014-9682 को सार्वजनिक रूप से 2017-10-24 को घोषित किया गया था। इस भेद्यता के लिए सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ़-कॉन्सेप्ट (PoC) मौजूद हैं, जो इसके शोषण को आसान बनाते हैं। CISA KEV सूची में इस CVE को शामिल किया गया है, जो इसके उच्च जोखिम को दर्शाता है। सक्रिय शोषण अभियान की कोई जानकारी नहीं है, लेकिन भेद्यता की गंभीरता और PoC की उपलब्धता के कारण, इसका शोषण किया जा सकता है।
Applications built with Node.js that rely on the dns-sync module for DNS resolution are at risk. This includes web applications, APIs, and backend services. Specifically, older Node.js projects that haven't been regularly updated are particularly vulnerable, as are those using shared hosting environments where the underlying Node.js dependencies might not be managed by the application developer.
• nodejs / server:
npm list dns-sync | grep -i '0\.\d+.<0\.1\.1'• nodejs / server:
find / -name "dns-sync*" -type d -print• nodejs / server:
journalctl -u node | grep -i "dns-sync"discovery
disclosure
एक्सप्लॉइट स्थिति
EPSS
1.04% (77% शतमक)
CVE-2014-9682 को कम करने के लिए प्राथमिक उपाय dns-sync मॉड्यूल को संस्करण 0.1.1 या उच्चतर में अपग्रेड करना है, जिसमें भेद्यता को ठीक किया गया है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, resolve API फ़ंक्शन को दिए गए इनपुट को सैनिटाइज करना है ताकि शेल मेटाकैरेक्टरों को हटाया जा सके। यह इनपुट को मान्य करके और किसी भी संदिग्ध वर्णों को हटाकर किया जा सकता है। इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग कमांड इंजेक्शन हमलों को रोकने के लिए किया जा सकता है। WAF को शेल मेटाकैरेक्टरों के उपयोग के लिए अनुरोधों को ब्लॉक करने के लिए कॉन्फ़िगर किया जाना चाहिए।
कोई आधिकारिक पैच उपलब्ध नहीं है। वैकल्पिक समाधान खोजें या अपडेट की निगरानी करें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2014-9682 dns-sync मॉड्यूल में एक कमांड इंजेक्शन भेद्यता है, जो Node.js के लिए एक लाइब्रेरी है। यह हमलावरों को मनमाना कमांड निष्पादित करने की अनुमति देता है।
यदि आप dns-sync मॉड्यूल के संस्करण 0.1.1 से पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
dns-sync मॉड्यूल को संस्करण 0.1.1 या उच्चतर में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो resolve API फ़ंक्शन को दिए गए इनपुट को सैनिटाइज करें।
हालांकि सक्रिय शोषण अभियान की कोई जानकारी नहीं है, लेकिन भेद्यता की गंभीरता और PoC की उपलब्धता के कारण, इसका शोषण किया जा सकता है।
भेद्यता के बारे में जानकारी के लिए Node.js प्रोजेक्ट के सुरक्षा सलाहकार देखें: [https://github.com/joyent/node/issues/7883](https://github.com/joyent/node/issues/7883)
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।