©
P-Reliz.ru - агрегатор пресс-релизов
|

Вредоносный код выполняется на вашем сервере прямо сейчас? Эксперт компании «Газинформсервис» — о критической уязвимости в JavaScript-библиотеке

В компании «Газинформсервис» предупредили о критической уязвимости в популярной JavaScript-библиотеке protobuf.js. Уязвимость позволяет злоумышленникам удаленно выполнять произвольный код на сервере. Специалисты компании рекомендуют организациям незамедлительно обновить библиотеку до безопасных версий«Библиотека protobuf.js крайне популярна в мире, используется сотнями приложений и стабильно входит в топы скачиваний из библиотеки NPM. 50 миллионов скачиваний в неделю — это солидное число. Даже если вы думаете, что ни разу с ней не сталкивались, то скорее всего вы ошибаетесь, если хоть раз в жизни использовали какой-либо из сервисов Google. В этой библиотеке как раз и была обнаружена уязвимость, которая хоть и не получила пока официального номера CVE, всё же имеет потенциально высокий риск эксплуатации», — комментирует Сергей Полунин, руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис».

Уязвимость связана с небезопасной генерацией кода при обработке пользовательских protobuf-схем. Из-за отсутствия должной валидации входных данных атакующий может внедрить вредоносный JavaScript-код в название сообщения, который будет выполнен при декодировании. Это открывает возможности для кражи учетных данных, доступа к внутренним системам и развития атаки внутри инфраструктуры. Уязвимы версии 8.0.0 и 7.5.4 и ниже. Патчи, устраняющие проблему, вышли в версиях 8.0.1 и 7.5.5.

«Вообще уязвимости, приводящие к удаленному выполнению кода, — это огромный успех любого злоумышленника и серьезная проблема для тех, кто занимается защитой систем и приложений. Отсюда и внимание к этой ситуации. Сегодня эта угроза остается актуальной и требует обновления вашего приложения. Однако, если ваша инфраструктура находится под постоянным мониторингом SOC, такого как GSOC, то скорее всего вы уже получили все необходимые уведомления и приступили к работе», — добавил эксперт компании «Газинформсервис».

P-Reliz.ru - аггрегатор пресс-релизов