CVE-2021-23386は、dns-packetライブラリにおけるメモリ露出の脆弱性です。この脆弱性により、攻撃者は細工された無効なドメイン名をクエリすることで、暗号化されていないネットワーク経由で内部アプリケーションメモリを読み取れる可能性があります。影響を受けるバージョンは1.3.2より前、および5.2.2より前のdns-packetです。この問題はバージョン5.2.2で修正されています。
CVE-2021-23386 は、dns-packet パッケージの 1.3.2 以前および 5.2.2 以前のバージョンに影響を与える脆弱性であり、機密性の高いメモリの露出のリスクをもたらします。この問題は、パッケージがバッファの割り当てと埋め込みをどのように処理するかにあります。具体的には、ネットワークパケットを構築する前にバッファが完全に埋め込まれていることを確認せずに、allocUnsafe を使用してバッファを作成します。これにより、攻撃者は特別に作成された無効なドメイン名を送信することで、アプリケーションの内部メモリの断片がネットワーク経由で送信されるネットワークパケットに含まれるようにすることができます。この情報には、API キー、パスワード、その他の機密情報が含まれる可能性があり、システムのセキュリティを損なう可能性があります。
この脆弱性の悪用には、攻撃者が影響を受けたシステムに DNS クエリを送信できる必要があります。これは、悪意のある DNS トラフィックをシステムに直接送信したり、侵害された DNS サーバーを悪用したりするなど、さまざまな方法で実現できます。攻撃者は、バッファオーバーフロー状態をトリガーする慎重に作成されたドメイン名を送信する必要があります。悪用の複雑さは、ネットワーク構成と既存のセキュリティ対策によって異なります。ネットワーク内の暗号化の欠如は、露出した情報が平文で送信されるため、リスクを悪化させます。
Applications utilizing the dns-packet package in Node.js environments are at risk, particularly those handling external DNS queries or processing user-supplied domain names. This includes applications that rely on DNS resolution for functionality, such as DNS resolvers, network monitoring tools, and applications integrating with DNS services. Shared hosting environments where multiple applications share the same Node.js instance are also at increased risk.
• nodejs / server:
npm list dns-packetIf the output shows a version prior to 5.2.2, the system is vulnerable. • nodejs / server:
npm audit dns-packetThis command will identify the vulnerability and suggest an upgrade. • generic web: Monitor network traffic for unusual DNS queries containing invalid or malformed domain names. Look for patterns indicative of probing or exploitation attempts.
disclosure
エクスプロイト状況
EPSS
1.11% (78% パーセンタイル)
CVSS ベクトル
CVE-2021-23386 の推奨される軽減策は、dns-packet パッケージをバージョン 5.2.2 以降に更新することです。このバージョンには、バッファがネットワークパケットの構築に使用される前に適切に埋め込まれることを保証することにより、脆弱性を修正する修正が含まれています。更新がすぐに不可能な場合は、ネットワークセグメンテーションや疑わしいパターンを監視するためのネットワークトラフィックの監視など、追加のセキュリティ対策を実装することを検討してください。プロジェクトの依存関係をレビューし、dns-packet の脆弱なバージョンを使用している他のライブラリを更新することも重要です。潜在的な攻撃からシステムを保護するために、セキュリティパッチを迅速に適用することが不可欠です。
Actualice el paquete dns-packet a la versión 5.2.2 o superior. Esto corrige la vulnerabilidad de exposición de memoria al asegurar que los buffers se llenen correctamente antes de formar paquetes de red. Ejecute `npm install dns-packet@latest` para actualizar.
脆弱性分析と重要アラートをメールでお届けします。
これは、広範なセキュリティチェックを行わずにメモリを迅速に割り当てる関数であり、バッファオーバーフローのようなエラーにつながる可能性があります。
使用している dns-packet パッケージのバージョンを確認してください。1.3.2 または 5.2.2 より古い場合は、脆弱です。
ネットワークセグメンテーションを実装し、疑わしいパターンを監視するためにネットワークトラフィックを監視します。
API キー、パスワード、アプリケーションのメモリに保存されているその他の機密情報などの機密データ。
更新が新しい問題を引き起こしていないことを確認するために、徹底的なテストを実行します。