Az egyik legnépszerűbb JavaScript-titkosító könyvtár kritikus sebezhetést foltoz

Egy komoly biztonsági hibát fedeztek fel a node-forge nevű JavaScript-titkosítási könyvtárban, amely világszerte rendkívül népszerű a fejlesztők körében. A sérülékenység lehetővé tette, hogy támadók olyan adatokat hamisítsanak, amelyek hitelesnek tűntek, így megkerülhették az aláírás-ellenőrzési folyamatokat. Az érintett funkcionalitás az ASN.1 adatstruktúrák érvényesítésével kapcsolatos, amelynél hibás adatok is átmehettek az ellenőrzésen, noha kriptográfiailag érvénytelenek voltak.

Komoly biztonsági kockázat

A hibát Hunter Wodzenski, a Palo Alto Networks munkatársa találta meg, és felelősségteljesen jelentette a node-forge fejlesztőinek. Elmondása szerint azok az alkalmazások, amelyek a könyvtárra bízták a kriptográfiai protokollok integritásának ellenőrzését, könnyen átverhetők voltak megfelelően formázott, ám hamisított adatcsomagokkal. A Carnegie Mellon CERT-CC szerint az érintett alkalmazásoknál ez akár a hitelesítés megkerülését, az aláírt adatok manipulálását vagy a tanúsítványok helytelen kezelését is eredményezhette.

Mi változott, mit tegyenek a fejlesztők?

A probléma a node-forge 1.3.1-es vagy régebbi verzióit érintette, de a javítás már elérhető a ma megjelent 1.3.2-es kiadásban. Mivel a könyvtár óriási népszerűségnek örvend a Node Package Manageren (NPM), a fejlesztőknek erősen ajánlott az mielőbbi átállás a legfrissebb verzióra, hogy minimalizálják a támadások esélyét. A nyílt forráskódú projektek sérülékenységeinek kijavítása gyakran hosszabb időt vesz igénybe a tesztelések miatt, ezért érdemes azonnal frissíteni minden érintett rendszert.

2025, adrienne, www.bleepingcomputer.com alapján