IBM'in Instana Observability yazılımının, Node.js bileşenlerindeki kritik güvenlik açıklarına karşı yama uygulanması gerekiyor.
Satıcı, bir danışma belgesinde CVE-2023-42282'nin Node.js IP işlemesinde bir kusur olduğunu açıkladı.
Danışma belgesinde “Bazı IP adresleri isPublic tarafından uygunsuz şekilde küresel olarak yönlendirilebilir olarak sınıflandırılmıştır” ifadesine yer verildi.
IBM'in uyarı belgesinde, Node.js paketinin “ip.isPublic() işlevindeki sunucu tarafı istek sahteciliği kusurundan kaynaklanan uzak bir saldırganın sistemde rastgele kod yürütmesine izin verebileceği” belirtiliyor.
“Bir saldırgan, sistemde rastgele kod çalıştırmak ve hassas bilgiler elde etmek için bu güvenlik açığından yararlanabilir.”
İkinci öneri, Instana Observability tarafından devralınan iki sanal alan kaçışını kapsar: CVE-2023-37903 ve CVE-2023-37466.
CVE-2023-37903, Node.js sanal makine modülünün özel inceleme işlevindeki bir kusurdur. IBM, başarılı bir şekilde istismarın, bir saldırganın sanal alandan kaçmasına ve hedefte rastgele kod çalıştırmasına izin verebileceğini söyledi.
CVE-2023-37466, Node.js sanal makine modülünün Promise işleyicisindeki bir sanal alan kaçışıdır ve aynı zamanda hedefte rastgele kod yürütme olanağı sunar.
Ayrıca JavaSE'nin sanal makinesinde “yüksek gizlilik etkisine” sahip ve CVSS puanı 5,1 olan, daha düşük dereceli bir güvenlik açığı olan CVE-2023-22041 bulunmaktadır.
Müşterilerin sabit bir sürüme güncelleme yapmaları önerilir.