Komoly biztonsági kockázat
A hibát Hunter Wodzenski, a Palo Alto Networks munkatársa találta meg, és felelősségteljesen jelentette a node-forge fejlesztőinek. Elmondása szerint azok az alkalmazások, amelyek a könyvtárra bízták a kriptográfiai protokollok integritásának ellenőrzését, könnyen átverhetők voltak megfelelően formázott, ám hamisított adatcsomagokkal. A Carnegie Mellon CERT-CC szerint az érintett alkalmazásoknál ez akár a hitelesítés megkerülését, az aláírt adatok manipulálását vagy a tanúsítványok helytelen kezelését is eredményezhette.
Mi változott, mit tegyenek a fejlesztők?
A probléma a node-forge 1.3.1-es vagy régebbi verzióit érintette, de a javítás már elérhető a ma megjelent 1.3.2-es kiadásban. Mivel a könyvtár óriási népszerűségnek örvend a Node Package Manageren (NPM), a fejlesztőknek erősen ajánlott az mielőbbi átállás a legfrissebb verzióra, hogy minimalizálják a támadások esélyét. A nyílt forráskódú projektek sérülékenységeinek kijavítása gyakran hosszabb időt vesz igénybe a tesztelések miatt, ezért érdemes azonnal frissíteni minden érintett rendszert.
