Popüler React çerçevesi Next.js’de, potansiyel olarak saldırganların görüntü optimizasyon özelliği aracılığıyla CPU kaynaklarını tüketmesine olanak tanıyan kritik bir güvenlik açığı keşfedildi.
14 Ekim 2024’te tespit edilen kusur, 14.2.6’ya kadar olan sürümleri etkiliyor ve Hizmet Reddi (DoS) koşullarına yol açabilir.
Güvenlik açığı, görüntüleri otomatik olarak yeniden boyutlandırarak, optimize ederek ve modern formatlarda sunarak performansı artırmak için tasarlanan Next.js’deki görüntü optimizasyonu işlevinden kaynaklanıyor.
Ancak bu özellik, aşırı CPU tüketimine neden olacak şekilde kullanılabilecek ve etkilenen uygulamaları yanıt vermeme potansiyeline sahip olabilecek bir kusur içeriyordu.
Next.js’nin arkasındaki şirket Vercel, 14.2.7 sürümünde bir yama yayınlayarak sorunu hemen çözdü. Etkilenen sürümlerin kullanıcılarının bu en son sürüme yükseltmeleri veya riski azaltmak için önerilen geçici çözümleri uygulamaları şiddetle tavsiye edilir.
Analyse Any Suspicious Files With ANY.RUN: Intergarte With You Security Team -> Try for Free
Tüm Next.js uygulamalarının güvenlik açığına sahip olmadığını unutmamak önemlidir. next.config.js dosyasındaki belirli ayarlarla yapılandırılanlar, örneğin resimler.optimize edilmemiş doğru olarak ayarlayın veya görüntüler.yükleyici varsayılan olmayan bir değere ayarlanmışsa etkilenmez. Ayrıca Vercel’in platformunda barındırılan uygulamalar da bu güvenlik açığından korunuyor.
Hemen yükseltme yapamayanlar için Vercel geçici çözümler sağladı. Bunlar, her ikisine de değer atamak için next.config.js dosyasının değiştirilmesini içerir. resimler.optimize edilmemiş, görüntüler.yükleyiciveya görüntüler.loaderDosyası.
Bu güvenlik sorunu, web geliştirme çerçevelerini güncel tutmanın ve yapılandırma ayarlarını düzenli olarak gözden geçirmenin önemini vurgulamaktadır.
Ayrıca, modern web uygulamalarında performans optimizasyonu özelliklerini sağlam güvenlik önlemleriyle dengeleme konusunda devam eden zorlukların da altını çiziyor.
Bu güvenlik açığının keşfedilmesi, geliştirme, üretim ve önbellekleme yeteneklerinde çeşitli iyileştirmeler sunan Next.js 14.2’nin yayımlanmasıyla aynı zamana denk geliyor.
Yeni sürüm, daha hızlı geliştirme ve gelişmiş hata yönetimi için Turbopack gibi geliştirmeler getirirken, bu güvenlik güncellemesi, güvenlik açıklarının derhal giderilmesinin kritik doğasını vurguluyor.
Web uygulamaları, gelişmiş performans ve geliştirici deneyimi için Next.js gibi çerçevelere yoğun bir şekilde güvenmeye devam ederken, olası güvenlik tehditlerine karşı dikkatli olunması son derece önemlidir.
Next.js’yi kullanan geliştiricilerin ve kuruluşların, uygulamalarının güvenliğini ve kararlılığını sağlamak için uygulamalarını gözden geçirmeleri ve gerekli güncellemeleri uygulamaları önerilir.
How to Choose an ultimate Managed SIEM solution for Your Security Team -> Download Free Guide(PDF)