GitHub 在热门 Node.js changelog 开源库Standard Version中发现 RCE 漏洞

最新推荐文章于 2024-04-13 09:55:45 发布
最新推荐文章于 2024-04-13 09:55:45 发布
阅读量510 收藏
点赞数
文章标签: github git docker 安全 linux
原文链接:https://www.codesafe.cn/#/home
版权

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队

上周,GitHub 安全实验室的研究员 Erik Krogh Kristensen  StandardVersion 中发现一个漏洞,可导致黑客在多个node.js 仓库(包括遍布2万多个项目的流行的standard-version changelog 工具)中执行shell 命令。

已公开的 PoC 显示,如果standard-version的 releaseCommitMessagForms 参数是由受用户控制的输入提供的,那么恶意行动者能够操纵程序流,在应用服务器上运行任意 shell 命令。

GitHub 将该漏洞标记为“中危”级别。GitHub 安全实验室的一名发言人表示,“这个漏洞的完整 exploit 难以创建,因为它是易受攻击的一个库函数。”GitHub 指出,“完整的 exploit 要求某些客户端使用由受用户控制的输入的特定库函数”,并向所有依赖standard-version 的开源项目更新至修复版本 (8.0.1)。

总结一下,standardVersion 函数中含有一个命令注入漏洞。Standard-verison 库的客户端可能未意识到这个问题,因此可能会编写出包含漏洞的代码。如果库客户端调用了输入不可信的易受攻击的方法,则可能引发远程代码执行后果。

命令注入漏洞


GitHub CodeQL 团队在开发新查询以检测类似 bug 时发现了这一漏洞。实验室的发言人指出,“该查询建模了一个危险的代码模式,从而引发命令行注入漏洞。在调查这个问题时,我们注意到其它15个安全问题也遵循同一个模式:‘不慎允许远程代码执行的库 API’。有时,由于缺乏最佳实践文档,不同的代码库中一再出现危险的模式。”

在大概11.5万个开源项目中运行该查询后,GitHub 安全实验室在其它库中发现了类似漏洞,包括 git-diff-apply、mversion、node-dns-sync 等。

GitHub 已通知项目维护人员更新代码。GitHub 安全实验室建议不使用可见字符串解析为 shell 命令的 API。例如,使用 child_process.execFile,而不是使用 child_process.exec。

该发言人表示,“CodeQL 团队的一个目标是识别这些模式和构建查询,阻止开发人员再次引入该漏洞。”

开发人员可以使用多种工具如 GitHub 代码扫描工具在开发仓库时和自动化开发者工作流中的安全性时运行安全检查。发言人指出,“开发人员可以深入分析出现问题的地方,提前在生命周期中检索更多的漏洞信息。另外,保持更新依赖关系,同时在使用字符串拼接构建 shell 命令时要非常仔细。”

 

 

 

 

推荐阅读

基于JS的勒索软件Ransom32利用Node.js感染用户

Juniper Networks 修复开源操作系统 Junos OS 等中的多个严重漏洞

谷歌开源漏洞扫描器“海啸”,专为大型企业服务

原文链接

https://portswigger.net/daily-swig/github-security-team-finds-remote-code-execution-bug-in-popular-node-js-changelog-library

https://github.com/advisories/GHSA-7xcx-6wjh-7xp2

题图:Pixabay License

本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    点个 “在看” ,加油鸭~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
node-github-emoji:具有TypeScript支持的GitHub Emoji的Node.js
02-03
使用TypeScript键入的Node.jsGitHub Emoji 使用TypeScript键入的适用于GitHub Emoji的小型。 特征: 获取每个表情符号的属性 姓名(例如dog ) 网址(例如...
standard-version(发版与 Changelog 自动化)
huangpb的博客
07-14 4055
我们就可以使用 standard-version 进行版本管理自动化,包括更新 CHANGELOG.md,以及使用 。它也会自动修改 package.json 里的 version。在使用 之前,需要遵循 Conventional Commit Specifications 来进行标准化的 commit message 编写。这是因为 是基于 commit 类型来更新版本号的(feature 会更新 minor, bug fix 会更新 patch, BREAKING CHANGES 会更新 major
git 版本自动工具 standard-version
Hhjian524的博客
05-22 838
standard-version可以进行版本自动化,以及生成CHANGELOG.md,使用git tag 也会自动更新package.json的version版本。PS:也可以配合GITHUBS ACTIONS 去使用。也可以执行npm run pubilsh发布到npm。CHANGELOG.md配置。PR到master时会执行。新建.versionrc。gitlab.yml如下。
如何管理NPM 包版本号?使用standard-version进行版本控制和发布(全网最全教程)nolan出版
最新发布
NolanKy 的 技术博客
04-13 1024
standard-version还允许你在各个步骤前后运行自定义脚本。例如,在版本号更新前后,或者在git提交前后。你可以在添加prebumppostbumpprecommitpostcommitstandard-version是一个强大而灵活的工具,能够让版本控制和发布变得更简单,更规范,也更易于跟踪和理解。无论你是个人开发者,还是团队开发者,我都强烈推荐你试试看。
Angular标准 commit message 提交信息、commit 验证、standard-version 自动版本更替和 changelog 输出
海胆的博客
09-17 1373
辅助提交工具 因为要使用 commitizen 工具来辅助提交信息填写 npm install commitizen -g 进而需要先安装 node 环境 使用 在项目目录下 # 需要先 npm init commitizen init cz-conventional-changelog --save --save-exact 使用 git cz 进行提交 会弹出规范进行一系列的输入 具体规范标准 Commit message 包括三个部分:Header,Body 和 Footer <type&g
git commit 、CHANGELOG 和版本发布的标准自动化
weixin_30716141的博客
12-08 454
一直以来,因为团队项目迭代节奏很快,每次发布的更新日志和版本更新都是通过人肉来完成的。有时候实在忙的团团转,对于手动的写这些更新信息就显得力不从心了。对于团队新来的小伙伴,有时候遇到些紧急情况,就更显的乱糟糟,还是得麻烦团队资深的同学。显然这些工作,用自动化工具再适合不过了。 本文是一篇项目自动化方面的使用教程,社区里面针对四类问题的解决方案很多,今天这里主要介绍的是on...
node-github-client:node.jsgithub 客户端
07-11
node.jsgithub api 特征 通过 oauth 令牌进行身份验证 获取拉取请求(所有页面!) 获得评论(所有页面!) 入门 npm install node-github-client 例子: var GithubClient = require('node-github-client')...
将Bitbucket存储迁移到Github。-Node.js开发
05-27
从Bitbucket到Github的迁移此存储将您所有的Bitbucket存储都转移到Github,同时保持其隐私状态。 入门在继续之前,请确保您具有node和npm。 从Bitbucket到Github的迁移此存储将您所有的Bitbucket存储都转移...
GitHub上已加星标的存储搜索关键字。-Node.js开发
05-27
starred_search在GitHub上已加星标的存储搜索关键字。 您知道您喜欢的那些存储并进入深渊吗? 是的,这些cli工具将帮助您对它们进行模糊搜索。 您可以通过仅提供GitHub用户的加星标存储的句柄来对其进行搜索...
Hukum-在终端显示Github Action进度-Node.js开发
05-27
Hukum-在终端显示Github Action进度Hukum是一个NPM模块,在终端显示Github Action(GA)进度。 它适用于将提交推送到Github存储时运行的工作流。 推送提交后,Hukum将实时打印状态更新。 Hukum旨在通过在您的...
standard-version:使用semver.org和常规commits.org自动进行版本控制和CHANGELOG生成
01-30
标准版本 使用和支持的CHANGELOG生成版本的实用工具。 有问题吗? 想要贡献? 加入我们的 。 这个怎么运作: 遵循存储的。 准备发布时,请运行standard-version 。 然后, standard-version将执行以下操作: 通过查看packageFiles 来检索存储的当前版本,回退到最后一个git tag 。 根据您的提交bumpFiles bump bumpFiles 的版本。 根据您的提交生成changelog (在幕后使用)。 创建一个新的commit包括您的bumpFiles 和更新的CHANGELOG。 用新版本号创建一个新tag 。 bumpFiles , packageFiles和updaters standard-version使用一些关键概念来处理项目的版本冲突。 packageFiles –用户定义的文件,可从读取和“粘贴”版本。 示例: package.json , manifest.json 在大多数情况下(包括默认), packageFiles是的一个子集bumpFiles 。 bumpFiles
前端小纠结--集成gitflow和standard-version使用
weixin_33757609的博客
05-21 4278
请看上一篇前端小纠结--约定式提交和自动生成changelog git flow工作流对比 Git工作流指南 git flow 介绍 git flow源自这篇文章a-successful-git-branching-model,大神!!!。 关于git flow的使用,请看以下链接,非常多的文章,写的非常好。 如何正确的使用git flow git-flow 备忘清单 git-bra...
Security Appscan Standard 漏洞扫描及补漏洞
YouXu
03-03 4736
IBM Security Appscan 介绍 IBM Security AppScan 在应用程序开发的生命周期过程提供安全测试, AppScan 扫描很多常规的漏洞,比如跨站脚本攻击(cross site cripting),HTTP 响应分割(HTTP response splitting),参数篡改(Parameter Tampering)等等。
代码风格统一:commitlint & eslint & standard-version
weixin_33862188的博客
12-06 415
Commitlint 配置 添加包 yarn add @commitlint/cli @commitlint/config-conventional husky -D 配置package.json "husky": { "hooks": { // 此处如果不使用husky 需要将HUSKY_GIT_PARAMS...
如何规范团队代码,小程序ESLint+Prettier+lint-staged+commit+changelog+standard-version自动规范实践
前端彭于晏的博客
12-11 5471
文章目录如何规范团队代码,ESLint+Prettier+lint-staged自动规范实践ESLint引入Prettier引入husky + lint-staged引入Commit message + Change log引入 如何规范团队代码,ESLint+Prettier+lint-staged自动规范实践 ESLint引入 Prettier引入 husky + lint-staged引入 Commit message + Change log引入 ...
git commit 规范及 changelog
web前端学习总结
08-10 1242
使用插件standard-version和conventional-changelog生成 changelog 文档的方法。 具体步骤如下: 1. 安装插件 在 package.json 文件补充添加如下内容: "scripts": { "commit": "git-cz", "release": "standard-version", "changelog": "conventional-changelog -p angular -i CHANGELOG.md -s -r 0",
Eslint+Prettier+husky+lint-staged+standard-version 格式化规范代码,规范 git 检测与提交信息
小超人日常码字
12-16 528
Eslint 使用 安装 # 下载,安装为开发时依赖 npm install eslint --save-dev # 初始化 npx eslint --init init 完毕之后,在项目的根目录会生成一个 eslint 的配置文件.eslintrc.{js,yml,json} 借助 eslint-config-standard的插件,它是标准的ESlint规则, 我们在项目继承这个标准就可以了 npm install --save-dev eslint-config-standard..
软件版本命名规范
热门推荐
fang0604631023的博客
03-21 2万+
软件版本规范
node.js+mysql开源项目
07-27
有很多基于Node.js和MySQL的开源项目,以下是几个常见的项目示例: 1. Express.js:一个常用的Node.js Web应用程序框架,可以与MySQL数据集成以构建强大的Web应用程序。 2. Nest.js:一个基于TypeScript的渐进式...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值