security vulnerabilities 중 몇가지 정리
CVE ?
Common Vulnerabilities and Exposures (CVE) 의 약자로, 공개적으로 알려진 컴퓨터 보안 결함 목록이다. CVE를 지칭할 때는 일반적으로 보안 결함에 할당된 CVE ID 번호를 뜻한다.
Vulnerabilities
CVE-2020-15262
Dependency: webpack-subresource-integrity
위험성 낮음. 현재 1.5.1보다 낮고, 1.5.1 이상으로 올려야함.
버전 1.5.1 이전에는 webpack-subresource-integrity에서 동적으로 로드된 청크는 브라우저에서 무결성을 확인할 수 없다.
브라우저가 CDN으로부터 패치된 파일이 정당한지 확인(SRI)할 수 있는 webpack plugin이 동적으로 로드된 청크는 브라우저에서 안전한지 확인할 수 없다.
In webpack-subresource-integrity before version 1.5.1, all dynamically loaded chunks receive an invalid integrity hash that is ignored by the browser, and therefore the browser cannot validate their integrity. This removes the additional level of protection offered by SRI for such chunks. Top-level chunks are unaffected. This issue is patched in version 1.5.1.
버전 1.5.1 이전의 webpack-subresource-integrity에서 동적으로 로드된 모든 청크는 브라우저에서 무시되는 유효하지 않은 무결성 해시를 수신하므로, 브라우저가 무결성을 확인할 수 없다. 이렇게 하면 이러한 청크에 대해 SRI에서 제공하는 추가 보호 수준이 제거된다. 최상위 청크는 영향을 받지 않는다. 1.5.1버전에서 이 문제가 패치되었음.
-
webpack-subresource-integrity - Webpack plugin for enabling Subresource Integrity.
-
청크
-
해시 hash
- SRI - Subresource Integrity (SRI) is a security feature that enables browsers to verify that files they fetch (for example, from a CDN) are delivered without unexpected manipulation.
- webpack: 오픈소스 자바스크립트 모듈 번들러
CVE-2020-7788
Dependency: ini
위험성 낮음. 현재 1.3.6보다 낮고, 1.3.6 이상으로 올려야함.
attacker가 악성 ini파일을 보내면 응용 프로그램의 프로토타입이 오염될 수도 있다.
프로토타입 오염이 발생하는 두 가지 주요 방법
- Unsafe Object recursive merge (안전하지 않은 개체 재귀 병합)
- Property definition by path (경로 별 속성 정의)
This affects the package ini before 1.3.6. If an attacker submits a malicious INI file to an application that parses it with ini.parse, they will pollute the prototype on the application. This can be exploited further depending on the context.
이것은 1.3.6 이전의 패키지 ini에 영향을 미친다. 공격자가 악성 INI 파일을 ini.parse로 구문 분석하는 응용 프로그램에 제출하면 응용 프로그램의 프로토 타입이 오염됩니다. 이것은 상황에 따라 더 악용 될 수 있음.
-
ini: 프로그램 정보를 저장하는 텍스트 문서
-
프로토타입 오염: JavaScript에 영향을 미치는 취약점이다. JavaScript의 속성을 조작하여 다른 값을 주입하여 기본 개체의 JavaScript 애플리케이션 개체 프로토타입을 덮어 쓰거나 오염시킵니다.
CVE-2020-35149
Dependency: mquery
위험성 보통. 현재 3.2.3보다 낮고, 3.2.3 이상으로 올려야함.
mquery는 여러 환경에서 실행되도록 설계된 mongodb 쿼리빌더이다. 버전 3.2.3 이전 mquery의 lib/utils.js에서 특수 속성이 병합되거나, 복제 작업 중에 복사될 수 있기 때문에 공격당할 수 있다.
lib/utils.js in mquery before 3.2.3 allows a pollution attack because a special property (e.g., proto) can be copied during a merge or clone operation.
3.2.3 이전 mquery의 lib / utils.js는 특수 속성 (예 : proto)이 병합 또는 복제 작업 중에 복사 될 수 있기 때문에 오염 공격을 허용한다.