प्लेटफ़ॉर्म
nodejs
घटक
dns-packet
में ठीक किया गया
5.2.2
5.2.2
CVE-2021-23386, dns-packet पैकेज में एक मेमोरी एक्सपोजर भेद्यता है। यह भेद्यता आंतरिक एप्लिकेशन मेमोरी को उजागर कर सकती है जब क्राफ्टेड अमान्य डोमेन नामों को क्वेरी किया जाता है, जिससे संवेदनशील जानकारी का रिसाव हो सकता है। यह भेद्यता dns-packet के 1.3.2 और 5.2.2 से पहले के संस्करणों को प्रभावित करती है। इसे संस्करण 5.2.2 में ठीक किया गया है।
CVE-2021-23386 dns-packet पैकेज में 1.3.2 से पहले और 5.2.2 से पहले के संस्करणों को प्रभावित करने वाला एक भेद्यता है, जो संवेदनशील मेमोरी एक्सपोजर का जोखिम पैदा करता है। समस्या पैकेज द्वारा बफ़र आवंटन और भरने के तरीके में निहित है। विशेष रूप से, यह नेटवर्क पैकेट बनाने से पहले बफ़र पूरी तरह से भरे हुए हैं यह सुनिश्चित किए बिना allocUnsafe का उपयोग करके बफ़र बनाता है। यह एक हमलावर को विशेष रूप से तैयार किए गए अमान्य डोमेन नामों को भेजकर एप्लिकेशन की आंतरिक मेमोरी के टुकड़ों को नेटवर्क पर प्रसारित नेटवर्क पैकेट में शामिल करने की अनुमति देता है। इस जानकारी में API कुंजियाँ, पासवर्ड या अन्य संवेदनशील डेटा शामिल हो सकते हैं, जिससे सिस्टम सुरक्षा से समझौता हो सकता है।
इस भेद्यता का शोषण करने के लिए, एक हमलावर को प्रभावित सिस्टम पर DNS क्वेरी भेजने में सक्षम होना चाहिए। यह विभिन्न तरीकों से प्राप्त किया जा सकता है, जैसे कि सिस्टम पर सीधे दुर्भावनापूर्ण DNS ट्रैफ़िक भेजना या समझौता किए गए DNS सर्वर का शोषण करना। हमलावर को सावधानीपूर्वक तैयार किए गए डोमेन नाम भेजने की आवश्यकता होगी जो बफ़र ओवरफ़्लो स्थिति को ट्रिगर करते हैं। शोषण की जटिलता नेटवर्क कॉन्फ़िगरेशन और मौजूदा सुरक्षा उपायों पर निर्भर करती है। नेटवर्क में एन्क्रिप्शन की कमी जोखिम को बढ़ाती है, क्योंकि उजागर जानकारी सादे पाठ में प्रसारित होती है।
Applications utilizing the dns-packet package in Node.js environments are at risk, particularly those handling external DNS queries or processing user-supplied domain names. This includes applications that rely on DNS resolution for functionality, such as DNS resolvers, network monitoring tools, and applications integrating with DNS services. Shared hosting environments where multiple applications share the same Node.js instance are also at increased risk.
• nodejs / server:
npm list dns-packetIf the output shows a version prior to 5.2.2, the system is vulnerable. • nodejs / server:
npm audit dns-packetThis command will identify the vulnerability and suggest an upgrade. • generic web: Monitor network traffic for unusual DNS queries containing invalid or malformed domain names. Look for patterns indicative of probing or exploitation attempts.
disclosure
एक्सप्लॉइट स्थिति
EPSS
1.11% (78% शतमक)
CVSS वेक्टर
CVE-2021-23386 के लिए अनुशंसित शमन dns-packet पैकेज को संस्करण 5.2.2 या बाद के संस्करण में अपडेट करना है। इस संस्करण में फिक्स शामिल हैं जो नेटवर्क पैकेट बनाने के लिए बफ़र का उपयोग करने से पहले उन्हें ठीक से भरने को सुनिश्चित करके भेद्यता को संबोधित करते हैं। यदि तुरंत अपडेट करना संभव नहीं है, तो नेटवर्क सेगमेंटेशन और संदिग्ध पैटर्न के लिए नेटवर्क ट्रैफ़िक की निगरानी जैसे अतिरिक्त सुरक्षा उपाय लागू करने पर विचार करें। परियोजना निर्भरताओं की समीक्षा करना और dns-packet के कमजोर संस्करणों का उपयोग करने वाले किसी भी अन्य पुस्तकालय को अपडेट करना भी महत्वपूर्ण है। संभावित हमलों से सिस्टम की सुरक्षा के लिए सुरक्षा पैच को तुरंत लागू करना आवश्यक है।
Actualice el paquete dns-packet a la versión 5.2.2 o superior. Esto corrige la vulnerabilidad de exposición de memoria al asegurar que los buffers se llenen correctamente antes de formar paquetes de red. Ejecute `npm install dns-packet@latest` para actualizar.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
यह एक फ़ंक्शन है जो मेमोरी को जल्दी आवंटित करता है लेकिन व्यापक सुरक्षा जांच के बिना, जिससे बफ़र ओवरफ़्लो जैसे त्रुटियां हो सकती हैं।
आप जिस dns-packet पैकेज का उपयोग कर रहे हैं उसका संस्करण जांचें। यदि यह 1.3.2 या 5.2.2 से पहले का है, तो यह भेद्य है।
नेटवर्क सेगमेंटेशन लागू करें और संदिग्ध पैटर्न के लिए नेटवर्क ट्रैफ़िक की निगरानी करें।
API कुंजियाँ, पासवर्ड और एप्लिकेशन मेमोरी में संग्रहीत अन्य संवेदनशील डेटा जैसे संवेदनशील डेटा।
यह सुनिश्चित करने के लिए कि अपडेट ने कोई नई समस्या पेश नहीं की है, गहन परीक्षण करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।