
sickcodes
一群安全研究人员于上周揭露,热门的npm套件netmask含有一个重大的安全漏洞CVE-2021-28918,可能衍生出服务器端请求伪造(Server-Side Request Forgery,SSFR)或本地文件包含(Local File Inclusion,RFI)漏洞,而且全球有超过27万个专案采用了netmask。
Npm为Node.js套件管理工具,而netmask则可用来解析与理解IPv4无类别域间路由(Classless Inter-Domain Routing,CIDR)区块,以让它们能被利用或比较,例如它可在使用者输入特定IP时,判断它是否位于使用者所定义的区块中,或者是列出所有包含在某一区块中的IP。
CVE-2021-28918漏洞出现在netmask的private-ip功能中,这个漏洞很简单,它只是把应该视为8位元的IP地址第一节视为字串,当作是10位元,例如于private-ip中输入0127.0.0.1时,它指的应该是81.0.0.1,但netmask却自动忽略了前面的0,将它视为127.0.0.1,此一漏洞从netmask自9年前现身以来,便存在迄今。
研究人员指出,该漏洞看起来不起眼,却会造成巨大灾难。如果浏览器能够辨识8进位文字,但Node.js应用程序不行,代表使用者可提交任何看起来像是来自内部的网址,但事实上所存取的却是远端的恶意档案,或者是使用者提交了看起来是公开的网址,但其实是私人网域,并因而衍生出SSFR或RFI攻击。
举例来说,使用者在netmask中提交了012,该套件以为它属于12公共IP,但它其实是10,为私人IP;或者使用者提交了010,netmask把它视为10私人IP,但它却是8公共IP。
研究人员警告,任何人都可以在netmask中提交一个看起来像是私人IP的位址,但它实际上却连至公共IP以下载恶意档案。
迄今netmask的全球下载数量已超过312万次,在GitHub上有27.8万个专案采用netmask,相关专案是否受到CVE-2021-28918漏洞波及端看其应用方式,目前该漏洞已被修补,研究人员呼吁所有netmask用户都应尽速更新。
相关文章
YouTube更新违反规定政策,提升惩处透明度和一致性2023-12-31 14:00:52
传苹果将把中国iCloud正式交给本地化经营 苹果手机icloud换区存储操作2023-12-27 18:34:43
刘德华代言什么手机?刘德华成华为Mate 60 RS非凡大师华为5G新手机代言人2023-09-26 21:55:08
WebOS新系统:Palm Pre手机最新款高价登港2023-06-23 15:39:14
帮助企业组织对抗勒索软件,资安通报机构设立防护专区,可协助事前、事中与事后因应2023-06-22 09:36:10
蔚来全系产品降价3万 取消免费换电 换一次电池180元2023-06-12 17:27:49
电商平台三巨头开打最大规模折扣 价格战再次打响2023-03-05 18:58:40
爱立信节省成本裁员四千人 爱立信全球员工总数五分之一2023-02-24 22:27:29
蜜芽关停近况,八位数重金买三字顶级新域名mia.com也关闭2023-02-23 16:18:14
联想CEO杨元庆:联想集团需要裁员32%削减部分业务支出2023-02-18 12:45:25
蓝色光标2022营收亏损18亿 客户预算减少明显2023-02-18 12:40:08
三星工厂或将80%生产转至越南 因本地劳动力成本上升2023-02-17 23:09:16
香港八达通卡如何激活?没用失效过期余额怎么办2023-02-17 18:34:51
中兴通讯被曝将裁员20% 称只裁国外的2023-02-17 18:33:26
苹果新iPhone15Pro手机终于改用USB-C(火牛)数据线??Lightning充电接口退出2023-02-17 16:57:22
突发!蓝色光标曾为中国民企500强龙头 如今业绩亏损断崖下跌2023-02-16 14:31:19
三星发布自家carplay车载中控系统 Car Mode for Galaxy 可以连接carplay吗?2023-02-14 00:53:17
Opera浏览器宣布集成ChatGPT 一键生成网页内容摘要2023-02-14 00:32:08
谷歌google计划重返进入中国市场?但结果可能令你失望2023-02-13 16:57:15
Zoom紧急裁员1300人 佔员工总数15%2023-02-08 14:59:11
最新资讯
炒港股要补交多少税?我也接到催交补税特别行动的电话了2025-07-23 17:36:43
淘宝天猫仅退款属于诈骗吗?淘宝天猫开始部分取消仅退款2024-10-01 13:01:28
哈啰app借钱|哈啰借钱app下载安装免费小小上当和电话骚扰2024-10-01 11:22:38
白嫖党|山西大同大学学生网购申请“仅退款”被拒骂客服一小时2024-09-27 09:10:44
北大数学教授袁新意《姜萍事件的疑点分析》点评姜萍板书 阿里巴巴竞赛受质疑2024-06-28 10:07:40
手机
中国11月手机出货量增34% 5G手机出货量2709.2万部2023-12-28 19:27:57
荣耀发布新一代旗舰荣耀Magic5系列,新款上市价格分期0首付3999元起2023-03-06 16:12:32
美国商务部指违禁,长江存储被美国拜登制裁名单面临停工裁员2023-02-17 18:41:53
苹果Apple iOS车载系统CarPlay支持哪些更多汽车品牌2023-02-02 17:33:27
香港去哪买三星手机回来吗? 买香港便宜售价手机市场地点和网站2023-02-02 11:03:11
数码
华为5G芯片正式亮相:预示华为将发首款5G手机2023-08-31 13:22:33
腾讯传计划放弃虚拟现实VR硬件计划2023-02-17 23:32:30
三星手机份额大跌!三星手机中国市场份额变化国内仅剩3%2023-02-01 17:06:15
三星手机份额大跌在中国没市场了!国内市场占有率仅剩1%国外比苹果销量高2023-02-01 16:59:53
vivo发布2022 vivoNEX手机极简易浏览器下载:简洁流畅无广告!2022-12-02 17:29:30
科技
B站怎么炸崩了哔哩哔哩服务器今日怎么又炸挂了?技术团队公开早先原因2023-03-06 19:05:55
苹果iPhoneXS/XR手机电池容量续航最强?答案揭晓2023-02-19 15:09:54
华为荣耀两款机型起内讧:荣耀Play官方价格同价同配该如何选?2023-02-17 23:21:27
google谷歌原生系统Pixel3 XL/4/5/6 pro手机价格:刘海屏设计顶配版曾卖6900元2023-02-17 18:58:09
科大讯飞同传同声翻译软件造假 浮夸不能只罚酒三杯2023-02-17 18:46:15