អ្នកស្រាវជ្រាវ លម្អិតពីបញ្ហានៅក្នុង JavaScript Sandbox

0

បញ្ហានៅក្នុង vm2 JavaScript sandbox module ត្រូវបាន patched រួចរាល់ បន្ទាប់ពីមានបញ្ហាផ្នែកសុវត្ថិភាពលើម៉ាស៊ីន ដែលអាចត្រូវបានបញ្ជាពីចម្ងាយ។ GitHub បានថ្លែងកាលពីខែកញ្ញា ឆ្នាំ២០២២ ថាៈ ហេគឃ័រអាចឆ្លងកាត់ប្រព័ន្ធការពារ sandbox ដើម្បីដំណើរការបញ្ជាកូដពីចម្ងាយទៅលើ កុំព្យូទ័រ ឬម៉ាស៊ីនភ្ញៀវ។

បញ្ហា CVE-2022-36067 និងកូដឈ្មោះ Sandbreak គ្រោះថ្នាក់ធ្ងន់ធ្ងរខ្លាំងនៅលើប្រព័ន្ធ។ វាស្ថិតនៅក្នុងជំនាន់ 3.9.11 ដែលត្រូវបានបញ្ចេញកាលពីថ្ងៃទី២៨ ខែសីហា ឆ្នាំ២០២២។ vm2 គឺជាបណ្ណាល័យកម្មវិធីដ៏ពេញនិយម ដែលត្រូវបានប្រើដើម្បីដំណើរកូដមិនទុកចិត្ត។ វាក៏ជាកម្មវិធីមួយដ៏ពេញនិយម ដែលត្រូវបានគេដោនឡូតដ៏ច្រើនរហូតដល់ចំនួន ៣,៥លាន ក្នុងមួយសប្តាហ៍។

កង្វះខាត នៅក្នុង Node.js អាចបណ្តាលឱ្យហេគឃ័រអាចគេចចេញពី sandbox បើយោងតាមក្រុមហ៊ុនសុវត្ថិភាពកម្មវិធី Oxeye។ មានន័យថា កំហុស CVE-2022-36067 អាចឱ្យហេគឃ័រឆ្លងកាត់មជ្ឈដ្ឋាន vm2 sandbox និងដំណើរការ shell command នៅលើប្រព័ន្ធ sandbox របស់ភ្ញៀវ។

អ្នកប្រើប្រាស់ ត្រូវបានផ្តល់អនុសាសន៍ឱ្យធ្វើបច្ចុប្បន្នភាពទៅកាន់ជំនាន់ចុងក្រោយ ជាបន្ទាន់ ដើម្បីកាត់បន្ថយហានិភ័យ។ ក្រុមហ៊ុន Oxeye បានថ្លែងថាៈ Sandboxes បម្រើការមុខងារច្រើននៅក្នុងកម្មវិធី ដូចជា កំណត់ attached files នៅក្នុងអ៊ីម៉ែលម៉ាស៊ីនមេ, ផ្តល់ស្រទាប់សុវត្ថិភាពបន្ថែមនៅក្នុង web browsers, ឬផ្តាច់ដំណើរការកម្មវិធីនៅក្នុងប្រព័ន្ធដំណើរការ។ នេះសបញ្ជាក់ឱ្យឃើញយ៉ាងច្បាស់ថា ភាពរងគ្រោះនៃ vm2 អាចជាផលវិបាកសម្រាប់កម្មវិធីដែលប្រើ vm2 ដែលគ្មាន patch នោះ។

ប្រភពព័ត៌មាន៖ ថ្ងៃទី១១ តុលា ឆ្នាំ២០២២
ប្រែសម្រួលដោយ៖ កញ្ញា

LEAVE A REPLY

Please enter your comment!
Please enter your name here