每周下载超 300 万次的 NPM 包被爆存在严重漏洞!

最新推荐文章于 2024-05-08 17:19:47 发布
最新推荐文章于 2024-05-08 17:19:47 发布
阅读量3.6k 收藏 1
点赞数 6
文章标签: node.js javascript 安全漏洞
原文链接:https://arstechnica.com/information-technology/2021/09/npm-package-with-3-million-weekly-downloads-had-a-severe-vulnerability/
版权

本周,开发人员 Tim Perry 披露了一个关于 pac-resolver 的严重漏洞,当一些本地用户在发出 HTTP 请求时,黑客可通过该漏洞肆意运行用户在 Node.js 进程中的任意代码。

此次漏洞与 PAC 文件有关

在此之前,pac-resolver 包的每周下载量超过了 300 万次,这个漏洞扩张到了依赖于开源的Node.js 应用程序。Pac-resolver 自诩为一个模块,它接受 JavaScript 代理配置文件,并为应用生成一个函数来映射特定的域以使用代理。

据 Tim Perry 透露,他是在为 HTTP 工具包添加代理支持时发现这一漏洞的,当他在审核 pac-resolver 代码时却遇到了安全问题。随后这个漏洞被追踪为 CVE-2021-23406,与模块处理代理自动配置 (PAC) 文件的方式有关。

PAC 文件由指定代理配置的 JavaScript 代码组成,它决定了哪些网络请求应该通过代理,哪些应该直接发出。例如,在 PAC 文件中,网络管理员可以明确指定一个网络代理,然后所有流量都应通过该代理进行路由,访问这个列表里面的域名的时候不通过代理服务器:

function FindProxyForURL(url, host) {
// Send all *.example requests directly with no proxy:
if (dnsDomainIs(host, '.example.com')) {
return 'DIRECT';
}
// Send every other request via this proxy:
return 'PROXY proxy.example.com:8080';
}

在上面的例子中,“example.com”的网络请求将绕过代理,而其余的流量则会按照指示通过代理服务器。

讲到这里,我们就不得不提到 PAC 标准。它最初于 1996 年作为 Netscape Navigator 2.0 的一部分被推出, 直到今天仍然被广泛使用。例如,Web Proxy Auto-Discovery Protocol (WAPD) 使用 DNS 或 DHCP 服务来定位网络上的 PAC 文件,并将代理配置导入到应用程序中。然而,随着代理配置变得越来越高,PAC 文件中的 JavaScript 代码也随之变得越来越复杂,并且被理想化地设计为在虚拟化环境 (VM) 中运行。

只需几行代码就可以绕过 VM,导致 RCE(remote code execution,即远程代码执行) 

例如,一个名为 Pac-Proxy-Agent 的相关 NPM 包 ,它由同一作者制作,每周下载量超过 200 万次,并且为 Node.js 应用程序提供 PAC 文件支持。Pac-Proxy-Agent 通过获取 PAC 文件的 URL 检索文件,然后充当 Node.js HTTP 代理来处理应用程序的传出请求。但是 Pac-Proxy-Agent 无法正确沙箱 PAC 文件,因为它使用了易受攻击的 pac-resolver 模块,该模块进一步依赖 “degenerator” 来构建 PAC 功能。

Degenerator 是同一作者的另一个包,它使用 Node.js 的 “VM” 模块将任意代码转换为沙箱函数。由于 Node.js 的文档中明确说明,“ vm 模块不是一种安全机制,不要用它来运行不受信任的代码” ,因此,当使用 pac-resolver、Pac-Proxy-Agent 和 proxy-agent 等包时,degenerator 的输出则会带来一定的安全风险。

Perry 在另一个博客中声称,“这是一个非常容易犯的错误,它的文本很小(坦率地说,它应该只能算是页面上的标题)”, Perry 进一步解释说:“这造成了一个大问题,虽然 VM 确实试图在一个独立的上下文中创建一个隔离的环境,但有很多简单的方法可以访问原始环境,并且能够完全摆脱沙箱……允许‘沙箱’中的代码在你的系统上做任何它想做的事情。”

在这个基础上,Perry 利用代码演示了攻击者如何突破虚拟机:

“这就是突破 VM 模块沙箱所需的全部内容,如果你能让一个易受攻击的目标使用这个 PAC 文件作为他们的代理配置,那么你就可以在他们的机器上运行任意代码,”Perry 解释道。

该漏洞严重影响那些使用 pac-resolver 5.0.0 之前版本的人,甚至在他们的 Node.js 应用程序中传递,并且在以下任意一种情况下,远程攻击者都可以配置恶意 PAC URL 并在使用代理配置发出 HTTP 请求时在计算机上运行任意代码。

  • 使用 PAC 文件进行代理配置
  • 在启用 WPAD 的系统上读取和使用 Node.js 中的操作系统代理配置
  • 使用不受信任来源的代理配置( env、配置文件、远程配置端点、命令行参数)

在 5.0.0 版本中对 pac-resolver 的修复只是简单地将 degenerator 版本升级到 3.0.1,核心修复程序则采用了degenerator 本身,并通过 vm2 模块实现了更强大的沙箱机制,以“防止不受信任的代码的权限升级”。

最后,Perry 建议受这个漏洞影响的开发人员应尽快升级到 pac-resolver 5.0.0 或更高版本以修复其应用程序中的这种漏洞。

开源头条
关注
  • 6
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
node-pac-proxy-agent:HTTP和HTTPS的PAC文件代理`http.Agent`实现
05-15
pac-proxy-agent HTTP和HTTPS的代理http.Agent实现 该模块提供了一个http.Agent实现,该实现检索指定的并使用它来解析哪个HTTP,HTTPS或SOCKS代理,或者是否应使用直接连接来连接到HTTP端点。 它旨在与内置的http和https模块一起使用。 安装 使用npm安装: $ npm install pac-proxy-agent 例子 var url = require ( 'url' ) ; var http = require ( 'http' ) ; var PacProxyAgent = require ( 'pac-proxy-agent' ) ; // URI to a PAC proxy file to use (the "pac+" prefix is stripped) var proxy = 'pac+https://c
node.js使用代理踩的坑最终的解决方案使用https和socks-proxy-agent解决
陈钇钇的博客
01-09 1149
/ ...这段代码定义了一个名为的函数,用于发起 HTTPS 请求。它利用 JavaScript 的Promise来处理异步操作,确保请求完成后再继续执行后续代码。options(请求配置)和body(请求体)。:创建一个新的 Promise 对象,用于处理异步操作。:发起 HTTPS 请求,其中options包含了请求的配置信息(如 URL、请求方法、头部等)。:当接收到数据块时触发,将数据块累加到字符串中。:当响应结束时触发,此时会解析 Promise,并返回完整的响应数据。
npm安全漏洞检查
dengjiax的博客
08-16 263
在包里运行如下的命令可以自动下载安装新版本依赖,升级到不向后兼容的新版本时,依赖的调用逻辑可能需要重写。修复漏洞的方法就是升级依赖版本。在包里运行如下的命令可以自动下载安装。
毒代理pac !带有网络安全漏洞NPM包…
TrustAsia的博客
09-24 1325
不久前,独立软件开发人员 Tim Perry,用于拦截和调试 Web 流量的HTTP 工具包的创建者决定为他的产品添加代理支持,就像现在的许多软件一样,它是使用Node.js. ICYMINode.js是一个项目,它将 JavaScript 语言从您的浏览器中分离出来,并将其本身变成了一个成熟的应用程序开发系统,有点像 Java(顺便说一下,它与 JavaScript 无关,因为所有名称听起来很像)。 除了使用谷歌 Chromium 项目的 V8 JavaScript 引擎的 JavaScrip
node-pac-resolver:从PAC文件生成异步解析器函数
05-17
pac-resolver 从生成异步解析器函数 该模块接受JavaScript字符串代码,该字符串应为,并返回生成的异步FindProxyForURL()函数。 安装 使用npm安装: $ npm install pac-resolver 例子 给定名为proxy.pac的PAC代理文件: function FindProxyForURL ( url , host ) { if ( isInNet ( myIpAddress ( ) , "10.1.10.0" , "255.255.255.0" ) ) { return "PROXY 1.2.3.4:8080" ; } else { return "DIRECT" ; } } 您可以使用pac-resolver来使用此PAC文件,如下所示: var fs = require ( 'fs' ) ;
关于npm i出现的安全漏洞问题
for_tonight的博客
05-04 457
该命令会在你更新或者安装了新的依赖包后自动运行。npm audit fix 是自动修复版本安全问题的,会版本修复到可用的安全版本,然后如果npm audit fix无效的,切记慎用npm audit fix --force 这个是强制将版本更新到最新可用的安全版本,如果盲目使用的话可能会造成依赖问题(如A包依赖B包,结果B包强制更新,依赖找不到了),所以需要使用npm audit查看具体问题与可解决的版本。下面会对npm aduit命令使用后的漏洞信息进行讲解。
开源的网易云音乐API项目都是怎么实现的?
sinat_33488770的博客
07-05 3129
上一篇文章这个高颜值的开源第三方网易云音乐播放器你值得拥有介绍了一个开源的第三方网易云音乐播放器,这篇文章我们来详细了解一下其中使用到的网易云音乐项目NeteaseCloudMusicApi的实现原理。NeteaseCloudMusicApi使用开发,主要用到的框架和库有两个,一个Web应用开发框架Express,一个请求库Axios,这两个大家应该都很熟了就不过多介绍了。项目的入口文件为: 调用了文件的方法,让我们转到这个文件,方法简化后如下: 主要是启动监听指定端口,所以创建应用的主要逻辑在方法: 首先
npm ERR! code EPERM npm ERR! syscall open npm ERR! path C:\Program Files\nodejs\node_cache\_cacache\
01-07
npm ERR! code EPERM npm ERR! syscall open npm ERR! path C:\Program Files\nodejs\node_cache\_cacache\tmp\9600794e npm ERR! errno -4048 npm ERR! Error: EPERM: operation not permitted, open 'C:\Program ...
npm install 错误问题 gyp ERR! configure error gyp ERR! stack Error: Command failed: C:\Users\Zhan
01-07
1.根据网上教程,下载并配置好nodejs 2.利用vscode打开已有vue文件 3.使用命令行,输入 npm install 4.然后就报出如下错误 localhost:react-first changwei$ npm install --save react-router npm WARN deprecated ...
$ npm install -g truffle npm ERR! code EEXIST错误解决方法
01-07
$ npm install -g truffle npm ERR! code EEXIST npm ERR! path E:\software\nn\node.js\node_global\node_modules\truffle\build\cli.bundled.js npm ERR! dest E:\software\nn\node.js\node_global\truffle.cmd ...
PAC-Designer
05-15
isppac20   利用可编程模拟器件配合相应的开发工具软件PAC-Designer,便可以像设计数字电路那样方便、快捷地完成模拟电路的设计、修改、编程和验证,从而极大的缩短产品的研制周期并增强其竞争力。目前,可编程模拟器件已在电子线路实验、传感器匹配、数据采集、信号处理、仪器仪表、控制与监测、人工神经网络等重要领域中得到了初步的应用并展现出广阔的应用前景。可以预期,随着,模拟可编程技术的不断进步和品种的逐步丰富,可编程模拟器件将会成为实现模拟电路的首选器件和最佳选择。
国内npm源镜像(npm加速下载
07-10
国内镜像源,国内npm源镜像(npm加速下载)淘宝 NPM 镜像:https://registry.npm.taobao.org 阿里云 NPM 镜像:https://npm.aliyun.com 腾讯云 NPM 镜像:https://mirrors.cloud.tencent.com/npm/ 华为云 NPM 镜像:...
npm-statistics:查找您的npm软件包下载统计信息
05-23
:dashing_away: Npm统计查找您的npm软件包下载统计信息。安装 $ npm i npm - statistics// or$ yarn add npm - statistics用法 const { getAll , getOne } = require ( 'npm-statistics' ) ;// orimport { getAll , ...
npm设置代理 proxy、配置国内源
KyrieChen的博客
12-30 1万+
npm设置代理 proxy、配置国内源 1.首先查看下目前配置:npm config list 查看是否已经配置了 2.设置网络代理的命令如下:npm config set proxy="http://192.168.2.1:8080" 3.国外源速度不稳定,可设置国内淘宝源。查看现有源  npm config get registry 4.设置淘宝源:npm config set registry https://registry.npm
npm proxy设置网络代理 并使用taobao registry
weixin_30770783的博客
05-24 1102
npm config set https-proxy http://server:portnpm config set proxy http://server:port npm set registryhttp://registry.npm.taobao.orgnpm install -g websocket-bench --registry=http://registry.npm.taoba...
PAC脚本语法(代理自动配置)
热门推荐
编程圈子-谢厂节的博客
09-03 5万+
现在浏览器基本都支持PAC格式的代理脚本。本文仅介绍PAC脚本语法,并不解释使用方法。 参考文档: https://en.wikipedia.org/wiki/Proxy_auto-config#DnsResolve http://www.360doc.com/content/12/0618/16/2633_219014023.shtml示例脚本function FindProxyForURL
有关PAC(Proxy Auto Config)代理自动配置文件的初步认识
hbp006的博客
01-28 2995
blank,有时间补上
Windows系统完全卸载删除 Node.js (包含控制面板找不到node.js选项情况)
最新发布
xuezhe5212的博客
05-08 560
Windows系统完全卸载删除 Node.js (包含控制面板找不到node.js选项情况)
npm npm ERR! network
09-21
npm ERR! network 是与网络连接相关的问题。通常情况下,这是由于代理设置或网络设置不正确引起的。如果您使用代理,请确保npm的'proxy'配置正确设置。您可以通过运行以下命令将npm配置为淘宝镜像:npm config set ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值