vm2 JavaScript sanal alanında, saldırganların sanal alandan çıkmasına olanak tanıyan başka bir kritik güvenlik açığı daha vardır. Güvenlik açığını gösteren kavram kanıtı kodu zaten mevcut. Yazılımın yeni bir sürümü, bunu ve başka bir güvenlik açığını kapatır.
vm2 sanal alanı: kritik sızıntı
Bir güvenlik danışma belgesinde, vm2 projesi, saldırganların beklenmedik bir şekilde sanal alandan çıkarak sanal alandan çıkabileceğini açıklar. Proxy-Spesifik suistimal edebilir. Bu sayede kaçak kod üzerinden tespit edilebilmiştir. Function ana bilgisayar bağlamında çalıştırın (CVE-2023-32314, CVSS 9.8risk”eleştirmenKavram kanıtı (PoC) kodu, yararlanmanın ne kadar kolay olduğunu gösterir ve VM yerine ana bilgisayarda çalışan “echo ‘hacked'” komutunu iletir.
Başka bir güvenlik açığı, kötü niyetli aktörlerin console.log manipüle etmek. Dosyaya bir referans okuyabilir ve yazabilirsiniz. inspectayarları değiştirme yöntemi (CVE-2023-32313, CVSS 5.3, yarım). Bunun için, boşluğu pratik olarak gösteren bir kavram kanıtı da mevcuttur.
Güvenlik açıkları, 3.9.17 dahil olmak üzere vm2’nin önceki tüm sürümlerini etkiler. vm2’nin mevcut sürümü 3.9.18, güvenlik açıklarını kapatır. Ek olarak, yeni sürüm, betikleri önbelleğe almak ve sanal alan başlatma sürelerini kısaltmak için birden fazla NodeVM örneği (paylaşılan çözümleyici) için çözümleyicileri paylaşan bir çözümleyici API’sini destekler. Güvenlik uyarıları aynı zamanda güvenlik açıklarından yararlanıldığını gösteren program kodunu da birbirine bağladığından, siber suçlular bunu yararlanma kitlerine hızla entegre edebilir. Bu nedenle vm2 kullanan herkesin mümkün olan en kısa sürede 3.9.18 veya daha yüksek bir sürüme yükseltmesi gerekir.
vm2 sanal alanı, Node.js modüllerinin çalışmasını sağlamalıdır. Yaklaşık bir ay önce vm2 projesi, kritik güvenlik açıkları nedeniyle yazılımını güncellemek zorunda kaldı.
(dmk)
Haberin Sonu
vm2 sanal alanı: kritik sızıntı
Bir güvenlik danışma belgesinde, vm2 projesi, saldırganların beklenmedik bir şekilde sanal alandan çıkarak sanal alandan çıkabileceğini açıklar. Proxy-Spesifik suistimal edebilir. Bu sayede kaçak kod üzerinden tespit edilebilmiştir. Function ana bilgisayar bağlamında çalıştırın (CVE-2023-32314, CVSS 9.8risk”eleştirmenKavram kanıtı (PoC) kodu, yararlanmanın ne kadar kolay olduğunu gösterir ve VM yerine ana bilgisayarda çalışan “echo ‘hacked'” komutunu iletir.
Başka bir güvenlik açığı, kötü niyetli aktörlerin console.log manipüle etmek. Dosyaya bir referans okuyabilir ve yazabilirsiniz. inspectayarları değiştirme yöntemi (CVE-2023-32313, CVSS 5.3, yarım). Bunun için, boşluğu pratik olarak gösteren bir kavram kanıtı da mevcuttur.
Güvenlik açıkları, 3.9.17 dahil olmak üzere vm2’nin önceki tüm sürümlerini etkiler. vm2’nin mevcut sürümü 3.9.18, güvenlik açıklarını kapatır. Ek olarak, yeni sürüm, betikleri önbelleğe almak ve sanal alan başlatma sürelerini kısaltmak için birden fazla NodeVM örneği (paylaşılan çözümleyici) için çözümleyicileri paylaşan bir çözümleyici API’sini destekler. Güvenlik uyarıları aynı zamanda güvenlik açıklarından yararlanıldığını gösteren program kodunu da birbirine bağladığından, siber suçlular bunu yararlanma kitlerine hızla entegre edebilir. Bu nedenle vm2 kullanan herkesin mümkün olan en kısa sürede 3.9.18 veya daha yüksek bir sürüme yükseltmesi gerekir.
vm2 sanal alanı, Node.js modüllerinin çalışmasını sağlamalıdır. Yaklaşık bir ay önce vm2 projesi, kritik güvenlik açıkları nedeniyle yazılımını güncellemek zorunda kaldı.
(dmk)
Haberin Sonu