27万个专案使用的npm套件netmask遭爆含有重大漏洞 - Security版

本页内容为未名空间相应帖子的节选和存档，一周内的贴子最多显示50字，超过一周显示500字访问原贴

Security版 - 27万个专案使用的npm套件netmask遭爆含有重大漏洞

相关主题
● [转载] 是不是有黑客入侵？	● 地沟油上怎么设置 IP traffic monitoring
● 最好的internet security套件	● 网络设置问题
● 聖經是偽造的	● 求助：神座的ArchLinux系统无法设置静态IP！ (转载)
● 请教个静态路由命令的区别，谢谢	● 一个pc只有一个NIC，能跟2个不同的subnet connect 吗? (转载)
● 问个route table的问题	● Re: help me! Re: how to configure networking after installation
● 一个pc只有一个NIC，能跟2个不同的subnet connect 吗?	● 新手问题
● 求助：神座的ArchLinux系统无法设置静态IP！	● Freebsd下如何给多网卡绑定同一IP？
● VPN怎么使用router USB上的打印机	● 投资客获利离场多指大跌135点

相关话题的讨论汇总
话题: netmask话题: ip话题: 漏洞话题: 使用者话题: 28918

进入Security版参与讨论

(共1页)

A****9
发帖数: 1

安全漏洞CVE-2021-28918让任何人都可以在netmask中，提交一个看起来像是私人IP的
位址，但它实际上却连至公共IP，这让攻击者得以散布恶意档案
一群安全研究人员于上周揭露，热门的npm套件netmask含有一个重大的安全漏洞CVE-
2021-28918，可能衍生出伺服器端请求伪造（Server-Side Request Forgery，SSFR）
或本地文件包含（Local File Inclusion，RFI）漏洞，而且全球有超过27万个专案采
用了netmask。
Npm为Node.js套件管理工具，而netmask则可用来解析与理解IPv4无类别域间路由（
Classless Inter-Domain Routing，CIDR）区块，以让它们能被利用或比较，例如它可
在使用者输入特定IP时，判断它是否位于使用者所定义的区块中，或者是列出所有包含
在某一区块中的IP。
CVE-2021-28918漏洞出现在netmask的private-ip弁鄐丑A这个漏洞很简单，它只是把应
该视为8位元的IP位址第一节视为字串，当作是10位元，例如于private-ip中输入0127.
0.0.1时，它指的应该是87.0.0.1，但netmask却自动忽略了前面的0，将它视为127.0.0
.1，此一漏洞从netmask自9年前现身以来，便存在迄今。
研究人员指出，该漏洞看起来不起眼，却会造成巨大灾难。如果浏览器能够辨识8进位
文字，但Node.js应用程式不行，代表使用者可提交任何看起来像是来自内部的网址，
但事实上所存取的却是远端的恶意档案，或者是使用者提交了看起来是公开的网址，但
其实是私人网域，并因而衍生出SSFR或RFI攻击。
举例来说，使用者在netmask中提交了012，该套件以为它属于12公共IP，但它其实是10
，为私人IP；或者使用者提交了010，netmask把它视为10私人IP，但它却是8公共IP。
研究人员警告，任何人都可以在netmask中提交一个看起来像是私人IP的位址，但它实
际上却连至公共IP以下载恶意档案。
迄今netmask的全球下载数量已超过312万次，在GitHub上有27.8万个专案采用netmask
，相关专案是否受到CVE-2021-28918漏洞波及端看其应用方式，目前该漏洞已被修补，
研究人员呼吁所有netmask用户都应尽速更新。

(共1页)

进入Security版参与讨论

相关主题
● 爸爸去哪儿家庭揭秘林志颖老婆神一般的女子(图)	● 问个route table的问题
● 名将不名将也要看手下的兵的水平	● 一个pc只有一个NIC，能跟2个不同的subnet connect 吗?
● 惭愧，航空母舰英文？	● 求助：神座的ArchLinux系统无法设置静态IP！
● 中青网：美国思科路由器预置“后门”意欲何为	● VPN怎么使用router USB上的打印机
● [转载] 是不是有黑客入侵？	● 地沟油上怎么设置 IP traffic monitoring
● 最好的internet security套件	● 网络设置问题
● 聖經是偽造的	● 求助：神座的ArchLinux系统无法设置静态IP！ (转载)
● 请教个静态路由命令的区别，谢谢	● 一个pc只有一个NIC，能跟2个不同的subnet connect 吗? (转载)

相关话题的讨论汇总
话题: netmask话题: ip话题: 漏洞话题: 使用者话题: 28918

#	版面	帖数(主题数)
-	全站	4871 (796)
1	Military	3777 (569)
2	Stock	341 (51)
3	Joke	117 (17)
4	History	116 (3)
5	Automobile	100 (9)
6	USANews	55 (9)
7	Midlife	45 (1)
8	Headline	41 (41)
9	Dreamer	33 (13)
10	FleaMarket	32 (20)
11	Living	30 (7)

boards

未名新帖统计// 7月16日

历史上的今天