In einem Blogbeitrag haben Sicherheitsforscher auf eine Schwachstelle in dem npm-Paket Netmask hingewiesen. Netmask bietet eine Klasse zum Untersuchen und Vergleichen von IPv4-CIDR-Blöcken (Classless Inter-Domain Routing). Beim Auswerten der Eingabe ignoriert sie allerdings führende Nullen, die anzeigen, dass die Adresse als Oktalzahlen angegeben ist.

Demnach wertet Netmask Oktalzahlen nicht korrekt aus und interpretiert dadurch unter anderem private Adressen potenziell als öffentliche und umgekehrt. Die Schwachstelle hat die Nummer CVE-2021-28918.

Die Sicherheitsforscher haben den Maintainer des GitHub-Repository kontaktiert, der sich als technischer Direktor (Director of Engineering) bei Netflix entpuppt hat. Er soll sich wohl äußerst reaktionsschnell und kooperativ beim Beheben des Problems gezeigt haben.

Im zugehörigen Blogbeitrag finden sich weitere Details inklusive Coffeescript-Sourcecode als Fix. Am 16. März haben die Forscher demnach das Problem entdeckt und am nächsten Tag den Betreiber informiert sowie einen CVE-Eintrag beantragt, der seit dem 19. März existiert.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE