A Protobuf.js végzetes hibája, amiről mindenki megfeledkezik

A Protobuf.js, a Google Protocol Buffers JavaScript-megvalósítása, súlyos távoli kódfuttatási hiba miatt került a figyelem középpontjába. Ez a könyvtár gyakran használatos Node.js-környezetben, kommunikációs szolgáltatásokban, valós idejű alkalmazásokban vagy épp szervezeti adatbázisokban, ahol strukturált adatokat tárolnak vagy továbbítanak.

Veszélyes kódbefecskendezés és sérülékenység

A hiba abból fakad, hogy a Protobuf.js dinamikus JavaScript-kódot generál az üzenetsémákból. A sémaazonosítók (például az üzenetnév) ellenőrizetlenül bekerülnek a generált függvényekbe, így bárki, aki manipulált sémát tud betölteni az alkalmazásba, tetszőleges kódot futtathat le. Ez különösen veszélyes lehet, hiszen így elérhetővé válnak a szerver környezeti változói, adatbázisai és egyéb belső rendszerei, sőt, akár oldalcsatornás támadások is kivitelezhetők.

Milyen rendszerek érintettek?

A hibával szemben a Protobuf.js 8.0.0, 7.5.4 és korábbi verziói teljesen védtelenek. Az Endor Labs javasolja, hogy az érintett rendszerek azonnal frissítsenek 8.0.1 vagy 7.5.5 verziókra. Az új verziókban a javítás eltávolítja a veszélyes karaktereket a típusnevekből, így ellehetetleníti a hiba kihasználását. Ugyanakkor hosszabb távon az lenne az ideális, ha többé nem adnák át a támadók által befolyásolható azonosítókat a Function konstruktorának.

Fő a biztonság: megelőzés és ellenőrzés

Mindezek miatt a fejlesztőknek nemcsak gyors frissítésre kell figyelniük. Célszerű átvizsgálni az összes közvetett függőséget, a sémák betöltését pedig mindig nem megbízható bemenetként kezeljék, és ahol csak lehet, előre fordított vagy statikus sémákat használjanak éles rendszeren. A gyors kihasználhatóság ellenére jelenleg nincs elérhető információ aktív, valós támadásokról, de a javításokat március–április során minden érintett csomagra kiadták.

2026, adrienne, www.bleepingcomputer.com alapján