In einem Blogbeitrag haben Sicherheitsforscher auf eine Schwachstelle
in dem npm-Paket Netmask
hingewiesen. Netmask bietet eine Klasse zum Untersuchen und Vergleichen
von IPv4-CIDR-Blöcken (Classless Inter-Domain Routing). Beim
Auswerten der Eingabe ignoriert sie allerdings führende Nullen,
die anzeigen, dass die Adresse als Oktalzahlen angegeben ist.
Demnach wertet Netmask Oktalzahlen nicht korrekt aus und interpretiert
dadurch unter anderem private Adressen potenziell als öffentliche
und umgekehrt. Die Schwachstelle hat die Nummer CVE-2021-28918.
Die Sicherheitsforscher haben den Maintainer des GitHub-Repository
kontaktiert, der sich als technischer Direktor (Director of Engineering)
bei Netflix entpuppt hat. Er soll sich wohl äußerst reaktionsschnell
und kooperativ beim Beheben des Problems gezeigt haben.
Im zugehörigen Blogbeitrag
finden sich weitere Details inklusive Coffeescript-Sourcecode als
Fix. Am 16. März haben die Forscher demnach das Problem entdeckt
und am nächsten Tag den Betreiber informiert sowie einen CVE-Eintrag
beantragt, der seit dem 19. März existiert.
(ts, hannover)
(siehe auch: Heise-News-Ticker)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|