2.5.4
CVE-2022-3517, minimatch पैकेज में एक रेगुलर एक्सप्रेशन डिनायल ऑफ़ सर्विस (ReDoS) भेद्यता है। यह भेद्यता तब उत्पन्न होती है जब braceExpand फंक्शन को विशिष्ट तर्कों के साथ कॉल किया जाता है, जिसके परिणामस्वरूप सेवा में बाधा (DoS) उत्पन्न होती है। यह भेद्यता minimatch के पुराने संस्करणों को प्रभावित करती है। संस्करण 3.0.5 में इस समस्या का समाधान किया गया है।
minimatch पैकेज में एक भेद्यता की पहचान की गई है, विशेष रूप से braceExpand फ़ंक्शन के भीतर। CVE-2022-3517 एक नियमित अभिव्यक्ति अस्वीकार सेवा (ReDoS) भेद्यता का वर्णन करता है जिसका उपयोग इस फ़ंक्शन को विशिष्ट तर्क प्रदान करके किया जा सकता है। एक हमलावर एक दुर्भावनापूर्ण इनपुट भेज सकता है जिसे फ़ंक्शन को सिस्टम संसाधनों (CPU, मेमोरी) की अत्यधिक मात्रा का उपभोग करने के लिए डिज़ाइन किया गया है, जिससे एप्लिकेशन अस्थिर हो सकता है या पूरी तरह से विफल हो सकता है। इस भेद्यता की गंभीरता को CVSS स्कोर 7.5 के रूप में रेट किया गया है, जो एक महत्वपूर्ण जोखिम दर्शाता है। इस जोखिम को कम करने के लिए minimatch को संस्करण 3.0.5 या उच्चतर में अपडेट करना महत्वपूर्ण है। यह भेद्यता उन परियोजनाओं को प्रभावित करती है जो फ़ाइल पैटर्न मिलान के लिए minimatch का उपयोग करती हैं, जैसे कि बिल्ड टूल, सामग्री प्रबंधन प्रणालियां और अन्य एप्लिकेशन जो फ़ाइल पैटर्न विस्तार पर निर्भर करते हैं।
इस भेद्यता का उपयोग minimatch के braceExpand फ़ंक्शन को सावधानीपूर्वक तैयार किए गए इनपुट स्ट्रिंग को भेजकर किया जाता है। इस स्ट्रिंग को अंतर्निहित नियमित अभिव्यक्ति में अत्यधिक बैकट्रैकिंग व्यवहार को ट्रिगर करने के लिए डिज़ाइन किया गया है, जिससे सिस्टम संसाधनों का असमानुपातिक उपभोग होता है। हमलावर को इस भेद्यता का फायदा उठाने के लिए विशेष विशेषाधिकारों की आवश्यकता नहीं है, क्योंकि वे उपयोगकर्ता इंटरफ़ेस या API के माध्यम से दुर्भावनापूर्ण इनपुट भेज सकते हैं। नियमित अभिव्यक्ति की जटिलता इसे विशिष्ट फिक्स के बिना पता लगाना और रोकना मुश्किल बनाती है। यदि एप्लिकेशन braceExpand फ़ंक्शन में उपयोग किए गए उपयोगकर्ता इनपुट को पर्याप्त रूप से मान्य नहीं करते हैं, तो शोषण की संभावना अधिक होती है। शोषण चुपचाप हो सकता है, क्योंकि हमला तुरंत दिखाई देने वाली त्रुटियां उत्पन्न नहीं कर सकता है, बल्कि समय के साथ सिस्टम प्रदर्शन को कम कर सकता है।
एक्सप्लॉइट स्थिति
EPSS
0.45% (64% शतमक)
CVSS वेक्टर
CVE-2022-3517 के लिए प्राथमिक शमन minimatch लाइब्रेरी को संस्करण 3.0.5 या उच्चतर में अपडेट करना है। इस संस्करण में ReDoS हमले को रोकने के लिए एक फिक्स शामिल है। यदि तत्काल अपडेट संभव नहीं है, तो braceExpand का उपयोग करने वाले कोड की जांच करें ताकि दुर्भावनापूर्ण डेटा के संभावित इनपुट बिंदुओं की पहचान की जा सके। फ़ंक्शन को पारित पैटर्न की जटिलता को सीमित करने के लिए इनपुट सत्यापन को लागू किया जा सकता है। इसके अतिरिक्त, minimatch का उपयोग करने वाले अनुप्रयोगों में सिस्टम संसाधन (CPU, मेमोरी) उपयोग की निगरानी करने से चल रहे ReDoS हमलों का पता लगाने में मदद मिल सकती है। वेब एप्लिकेशन फ़ायरवॉल (WAF) को लागू करने से संभावित रूप से दुर्भावनापूर्ण इनपुट पैटर्न को फ़िल्टर करके अतिरिक्त सुरक्षा परत प्रदान की जा सकती है। अपडेट सबसे प्रभावी और अनुशंसित समाधान है।
Actualice el paquete minimatch a la versión 2.5.4 o superior para mitigar el riesgo de denegación de servicio por ReDoS. Puede hacerlo utilizando npm o yarn: `npm install minimatch@latest` o `yarn add minimatch@latest`.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
ReDoS (Regular Expression Denial of Service) एक प्रकार का DoS हमला है जो सिस्टम संसाधनों की अत्यधिक मात्रा का उपभोग करने के लिए नियमित अभिव्यक्तियों की जटिलता का लाभ उठाता है।
ज़रूरी नहीं। यह उन अनुप्रयोगों को प्रभावित करता है जो braceExpand फ़ंक्शन का उपयोग करते हैं और उपयोगकर्ता इनपुट को पर्याप्त रूप से मान्य नहीं करते हैं।
braceExpand का उपयोग करने वाले कोड की जांच करें और पैटर्न की जटिलता को सीमित करने के लिए इनपुट सत्यापन को लागू करने पर विचार करें।
minimatch का उपयोग करने वाले अनुप्रयोगों में सिस्टम संसाधन (CPU, मेमोरी) उपयोग की निगरानी करें। संसाधनों के उपयोग में अचानक और लगातार वृद्धि हमले का संकेत दे सकती है।
ऐसे स्थिर और गतिशील विश्लेषण उपकरण हैं जो जटिल और संभावित रूप से कमजोर नियमित अभिव्यक्ति पैटर्न की पहचान करने में मदद कर सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।