`dns-sync` में कमांड इंजेक्शन

यह भेद्यता हमलावरों को सर्वर पर मनमाना कोड निष्पादित करने की अनुमति देती है, जिससे डेटा चोरी, सिस्टम समझौता और अन्य दुर्भावनापूर्ण गतिविधियाँ हो सकती हैं। चूंकि dns-sync का उपयोग अक्सर DNS रिज़ॉल्यूशन के लिए किया जाता है, इसलिए इस भेद्यता का शोषण DNS ट्रैफ़िक को बाधित करने या दुर्भावनापूर्ण डोमेन को पुनर्निर्देशित करने के लिए भी किया जा सकता है। यह भेद्यता Log4Shell जैसी अन्य कमांड इंजेक्शन भेद्यताओं के समान है, जहाँ अविश्वसनीय इनपुट को ठीक से हैंडल नहीं किया जाता है।

Applications and systems utilizing the dns-sync package in Node.js environments are at risk, particularly those that accept external input that is processed by the resolve() method without proper sanitization. Development environments using older versions of dns-sync are also vulnerable.

• nodejs / server:

  npm list dns-sync

• nodejs / server:

  npm audit dns-sync

• nodejs / server:

  grep -r 'dns-sync.resolve(' /path/to/your/project

1. 2018-07-18Disclosure

   disclosure

1. प्रकाशित2018-07-18
2. संशोधित2023-11-08
3. EPSS अद्यतन2026-04-02

CVE-2017-16100 को कम करने के लिए, तुरंत dns-sync को संस्करण 0.1.1 या बाद के संस्करण में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो dns-sync.resolve() विधि में अविश्वसनीय इनपुट को बिल्कुल भी न भेजें। एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग कमांड इंजेक्शन हमलों को रोकने के लिए किया जा सकता है, लेकिन यह अपडेट का विकल्प नहीं है। सुनिश्चित करें कि आपके DNS सर्वर सुरक्षित हैं और अनधिकृत पहुंच से सुरक्षित हैं। अपडेट के बाद, यह सत्यापित करें कि dns-sync संस्करण 0.1.1 या बाद का है, dns-sync --version कमांड चलाकर।