Açık kaynak projesi, iOS, macOS, Android ve tvOS için anında iletme bildirimi işlevi sağlar
Node.js ve Express WAF için API sunucusu modülündeki hassas kullanıcı verilerinin kaba kuvvetle tahmin edilmesini sağlayan Ayrıştırma Sunucusu’ndaki bir güvenlik açığı düzeltildi.
Ayrıştırma Sunucusu, iOS, macOS, Android ve Apple TV işletim sistemi tvOS için anında bildirim işlevi sağlayan popüler bir açık kaynaklı projedir.
16 Eylül Cuma günü yayınlanan GitHub danışma belgesinde, “Dahili alanlar (Parse Server tarafından dahili olarak kullanılan, _ ile ön eki olan anahtarlar) ve korunan alanlar (kullanıcı tanımlı) sorgu kısıtlamaları olarak kullanılabilir” diyor.
En son siber güvenlik açığı haberlerini okuyun
“Dahili ve korumalı alanlar, Parse Server tarafından sorgu sonuçlarından kaldırılır ve yalnızca geçerli bir ana anahtar kullanılarak istemciye döndürülür. Ancak, sorgu kısıtlamaları kullanılarak bu alanlar, Parse Server bir yanıt nesnesi döndürene kadar numaralandırılarak tahmin edilebilir.”
CVE-2022-36079 olarak izlenen yüksek önem derecesine sahip soruna GitHub tarafından 8.6, Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından 7.5 olarak bir CVSS derecesi verildi. Saldırı karmaşıklığı ‘düşük’ olarak kabul edildi.
Güncelleme ve geçici çözüm
Hata, ayrıştırma sunucusu NPM paketinin 4.10.14 ve 5.2.5 sürümlerinde düzeltildi ve bu sürüm satırlarındaki önceki tüm sürümler etkilendi. Düzeltme, ana anahtarın dahili ve korumalı alanları sorgu kısıtlamaları olarak kullanmasını zorunlu kılar.
Sistemlerini hemen güncelleyemeyen geliştiriciler için de bir geçici çözüm mevcuttur. “Sorgu kısıtlamalarını bulmadan önce bir Ayrıştırma Bulut Tetikleyicisi uygulayın ve sorgu kısıtlamalarını manuel olarak kaldırın” açıklamasında bulundu.
Bu yıl Parse Server’da ele alınan diğer önemli güvenlik hataları arasında, Haziran ayında açıklanan Apple Game Center’ı etkileyen yüksek önem derecesine sahip bir kimlik doğrulama atlaması ve Mart ayında açıklanan ve “muhtemelen Postgres’i ve diğer herhangi bir veritabanı arka ucunu etkileyecek” bir prototip kirliliği, maksimum önem derecesine sahip güvenlik açığı yer alıyor.
ÖNERİLEN ‘Güvenlik ekipleri genellikle geliştiricilerin AppSec’in kontrolünü ele geçirmesine karşı savaşıyor’: Tanya Janca, DevSecOps’u benimseme yolunda