प्लेटफ़ॉर्म
nodejs
घटक
electron-packager
में ठीक किया गया
7.0.0
CVE-2016-10534 electron-packager में एक भेद्यता है जो SSL प्रमाणपत्र सत्यापन को डिफ़ॉल्ट रूप से अक्षम करती है। यह हमलावरों को इंस्टॉलेशन प्रक्रिया के दौरान MITM (मैन-इन-द-मिडिल) हमला करने की अनुमति दे सकता है, जिससे वे वैध डाउनलोड को दुर्भावनापूर्ण डाउनलोड से बदल सकते हैं। यह भेद्यता electron-packager CLI का उपयोग करने वाले उपयोगकर्ताओं को प्रभावित करती है। संस्करण 7.0.0 या बाद के संस्करण में अपडेट करके इस समस्या का समाधान किया जा सकता है।
यह भेद्यता हमलावरों को electron-packager द्वारा उपयोग किए जाने वाले Electron डाउनलोड को बाधित करने की अनुमति देती है। हमलावर एक दुर्भावनापूर्ण संस्करण को इंजेक्ट कर सकते हैं, जिससे एप्लिकेशन में दुर्भावनापूर्ण कोड शामिल हो सकता है। यह डेटा चोरी, सिस्टम नियंत्रण या अन्य हानिकारक गतिविधियों का कारण बन सकता है। चूंकि electron-packager का उपयोग कई अनुप्रयोगों को पैकेज करने के लिए किया जाता है, इसलिए इस भेद्यता का व्यापक प्रभाव हो सकता है। यह विशेष रूप से उन वातावरणों में चिंताजनक है जहां नेटवर्क ट्रैफ़िक को नियंत्रित करना मुश्किल है या जहां हमलावर के पास नेटवर्क तक विशेषाधिकार प्राप्त पहुंच है।
CVE-2016-10534 को अभी तक सक्रिय रूप से शोषण करने के लिए व्यापक रूप से रिपोर्ट नहीं किया गया है, लेकिन यह संभावित रूप से शोषण योग्य है क्योंकि यह MITM हमलों के लिए एक सीधा मार्ग प्रदान करता है। यह भेद्यता KEV (CISA Known Exploited Vulnerabilities) में सूचीबद्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हो सकते हैं, लेकिन व्यापक रूप से ज्ञात नहीं हैं। NVD (National Vulnerability Database) में 2019-02-18 को प्रकाशन तिथि दर्ज है।
Developers and organizations using electron-packager to build and distribute Electron-based applications are at risk, particularly those relying on the CLI and not explicitly configuring SSL verification within their node.js API calls. Shared hosting environments where users have limited control over the build process are also at increased risk.
• nodejs / supply-chain:
Get-Process -Name electron-packager | Select-Object -ExpandProperty Path• nodejs / supply-chain:
Get-ChildItem -Path "C:\Program Files\electron-packager\*" -Recurse -Filter "*.exe"• generic web:
curl -I https://example.com/electron-download.exe | grep -i ssldiscovery
disclosure
patch
एक्सप्लॉइट स्थिति
EPSS
0.16% (36% शतमक)
CVE-2016-10534 को कम करने के लिए, electron-packager के संस्करण 7.0.0 या बाद के संस्करण में अपडेट करना आवश्यक है। यदि तत्काल अपडेट संभव नहीं है, तो आप electron-packager CLI का उपयोग करते समय --strict-ssl विकल्प का उपयोग करके SSL प्रमाणपत्र सत्यापन को मैन्युअल रूप से सक्षम कर सकते हैं। यह विकल्प डिफ़ॉल्ट रूप से node.js API के लिए सक्षम है। इसके अतिरिक्त, सुनिश्चित करें कि आपके नेटवर्क ट्रैफ़िक को सुरक्षित करने के लिए फ़ायरवॉल और घुसपैठ का पता लगाने वाले सिस्टम (IDS) जैसे सुरक्षा उपाय लागू हैं। अपडेट के बाद, यह सत्यापित करें कि SSL प्रमाणपत्र सत्यापन ठीक से काम कर रहा है, उदाहरण के लिए, एक सुरक्षित कनेक्शन का उपयोग करके Electron एप्लिकेशन डाउनलोड करके।
कोई आधिकारिक पैच उपलब्ध नहीं है। वैकल्पिक समाधान खोजें या अपडेट की निगरानी करें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2016-10534 electron-packager में एक भेद्यता है जो SSL प्रमाणपत्र सत्यापन को डिफ़ॉल्ट रूप से अक्षम करती है, जिससे हमलावरों को MITM हमले करने की अनुमति मिलती है।
यदि आप electron-packager के संस्करण 7.0.0 से पहले का संस्करण उपयोग कर रहे हैं और CLI का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
electron-packager के संस्करण 7.0.0 या बाद के संस्करण में अपडेट करें। यदि तत्काल अपडेट संभव नहीं है, तो --strict-ssl विकल्प का उपयोग करें।
CVE-2016-10534 को अभी तक सक्रिय रूप से शोषण करने के लिए व्यापक रूप से रिपोर्ट नहीं किया गया है, लेकिन यह संभावित रूप से शोषण योग्य है।
आप आधिकारिक सलाहकार https://github.com/electron-userland/electron-packager/issues/619 पर पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।