Node.js projesi, Windows platformlarındaki yazılımının birden fazla aktif sürüm hattını etkileyen yüksek önem derecesine sahip bir güvenlik açığını ortaya çıkardı.
CVE-2024-27980 olarak tanımlanan bu kusur, saldırganların etkilenen sistemlerde rastgele komutlar yürütmesine olanak tanıyor ve Node.js üzerine kurulu uygulamalar ve hizmetler için ciddi bir risk oluşturuyor.
Node.js Kusuru Saldırganların Kötü Amaçlı Kod Çalıştırmasına İzin Veriyor
Güvenlik açığının özü, child_process.spawn Ve child_process.spawnSync Windows işletim sistemlerinde kullanıldığında Node.js’nin işlevleri. Bu işlevler genellikle Node.js uygulamalarından alt süreçleri oluşturmak için kullanılır.
Hata, toplu iş dosyalarının ve bu işlevlere iletilen komut satırı bağımsız değişkenlerinin işlenmesinde keşfedildi.
Spesifik olarak, kötü niyetli olarak oluşturulmuş bir komut satırı argümanının, komut enjeksiyonuna ve rastgele kod yürütülmesine yol açabileceği bulunmuştur. shell işlev çağrısında seçenek etkin değil.
Bu güvenlik açığı özellikle endişe vericidir çünkü güvenlik mekanizmasını devre dışı bırakarak sağlanan güvenlik mekanizmasını atlar. shell Genellikle en iyi güvenlik uygulaması olarak önerilen seçenek.
Etki oldukça yaygındır ve Windows’ta Node.js’nin 18.x, 20.x ve 21.x sürüm satırlarının tüm kullanıcılarını etkilemektedir.
Node.js projesi, CVE-2024-27980’in keşfine yanıt olarak hızlı bir şekilde harekete geçti. Etkilenen sürümler için sorunu hafifletmeye yönelik güvenlik güncellemeleri yayımlandı: 18.x, 20.x ve 21.x.
Bu güncellemeler 9 Nisan 2024 Salı itibarıyla kullanıma sunulacak olup, uygulamalarını ve altyapılarını potansiyel istismardan korumak için kullanıcıların Node.js kurulumlarını derhal yükseltmeleri önemle tavsiye edilir.
Güvenlik araştırmacısı Ryotak’ın bu güvenlik açığını keşfetmesiyle tanındı ve Ben Noordhuis düzeltmeyi uyguladı. Node.js projesi, platformun güvenliğini ve bütünlüğünü korumaya yaptıkları katkılardan dolayı topluluk üyelerine şükranlarını sundu.
Node.js Kullanıcılarına Öneriler
Bu kritik güvenlik açığının ışığında, Node.js kullanıcılarına, özellikle de Windows’ta uygulama çalıştıranlara şunları yapmaları tavsiye edilir:
- Hemen Güncelle: CVE-2024-27980’in oluşturduğu riski azaltmak için Node.js’nin en son yamalı sürümlerine (18.x, 20.x, 21.x) yükseltin.
- Güvenlik Uygulamalarını İnceleyin: Özellikle harici giriş ve komut satırı argümanlarının işlenmesiyle ilgili olarak, Node.js uygulamaları içindeki alt süreçlerin kullanımını yeniden değerlendirin.
- Haberdar Olun: Nodejs-sec posta listesine abone olun ve güvenlik açıkları ve güvenlik sürümleriyle ilgili güncellemeler için resmi Node.js güvenlik sayfasını düzenli olarak kontrol edin.
Secure your emails in a heartbeat! To find your ideal email security vendor, Take a Free 30-Second Assessment.