• 我的位置:
  • 首頁
  • -
  • 漏洞預(yù)警
  • -
  • 中間件
  • -
    • Node.js systeminformation模塊遠(yuǎn)程代碼執(zhí)行漏洞
    • CNNVD編號:未知
    • 危害等級: 高危 
    • CVE編號:未知
    • 漏洞類型: 遠(yuǎn)程代碼執(zhí)行
    • 威脅類型:遠(yuǎn)程
    • 廠       商:未知
    • 漏洞來源:深信服
    • 發(fā)布時間:2021-03-11
    • 更新時間:2021-03-11

    漏洞簡介

    1、組件介紹

    Node.js發(fā)布于2009年5月,由Ryan Dahl開發(fā),是一個基于Chrome V8引擎的JavaScript運(yùn)行環(huán)境,使用了一個事件驅(qū)動、非阻塞式I/O模型,讓JavaScript 運(yùn)行在服務(wù)端的開發(fā)平臺,它讓JavaScript成為與PHP、Python、Perl、Ruby等服務(wù)端語言平起平坐的腳本語言。

    Node.js-systeminformation是用于獲取各種系統(tǒng)信息的Node.JS模塊,它包含多種輕量級功能,可以檢索詳細(xì)的硬件和系統(tǒng)相關(guān)信息。自發(fā)布至今,systeminformation軟件包下載次數(shù)近3400萬。

    2、漏洞描述

    近日,深信服安全團(tuán)隊(duì)監(jiān)測到一則Node.js systeminformation模塊存在遠(yuǎn)程代碼執(zhí)行漏洞的信息,漏洞編號:CVE-2021-21315,漏洞危害:高危。該漏洞是由于systeminformation未對指定參數(shù)進(jìn)行過濾,導(dǎo)致可以進(jìn)行命令注入,攻擊者可利用該漏洞在未授權(quán)的情況下,構(gòu)造惡意數(shù)據(jù)執(zhí)行遠(yuǎn)程代碼執(zhí)行攻擊,最終獲取服務(wù)器最高權(quán)限。

    3、補(bǔ)丁分析


    通過補(bǔ)丁可以發(fā)現(xiàn),systeminformation對參數(shù)驗(yàn)證邏輯進(jìn)行了完善,以防止了漏洞的產(chǎn)生與利用。


    漏洞公示

    搭建Node.js systeminformation模塊4.34.15版本環(huán)境,復(fù)現(xiàn)該漏洞,效果如下:

     



    參考網(wǎng)站

    暫無

    受影響實(shí)體

    Node.js可以運(yùn)行在幾乎所有計(jì)算機(jī)平臺上,由于其跨平臺和安全性被廣泛使用,成為JavaScript在服務(wù)端運(yùn)行的主流方式。全球有數(shù)萬 Web服務(wù)器采用 Node.js,可能受漏洞影響的資產(chǎn)廣泛分布于世界各地,中國大陸省份中,浙江、廣東、山東、北京、上海等省市接近 70%,今年曝出的漏洞為高危漏洞,需要引起用戶的高度重視。


    目前受影響的systeminformation版本:

    Systeminformation <   5.3.1

    補(bǔ)丁

    1、如何檢測組件系統(tǒng)版本

    在node_mudules同級目錄下找到package-loca.json文件并打開,

    在里面搜索systeminfomation,可以查看到相應(yīng)的版本。

    2、官方修復(fù)建議

    當(dāng)前官方已發(fā)布最新版本,建議受影響的用戶及時更新升級到最新版本。鏈接如下:

    https://systeminformation.io/

    3、深信服解決方案

    深信服下一代防火墻】可輕松防御此漏洞, 建議部署深信服下一代防火墻的用戶更新至最新的安全防護(hù)規(guī)則,可輕松抵御此高危風(fēng)險(xiǎn)。

    深信服云盾】已第一時間從云端自動更新防護(hù)規(guī)則,云盾用戶無需操作,即可輕松、快速防御此高危風(fēng)險(xiǎn)。

    深信服安全感知平臺】可檢測利用該漏洞的攻擊,實(shí)時告警,并可聯(lián)動【深信服下一代防火墻等產(chǎn)品】實(shí)現(xiàn)對攻擊者ip的封堵。

    深信服安全運(yùn)營服務(wù)】深信服云端安全專家提供7*24小時持續(xù)的安全運(yùn)營服務(wù)。在漏洞爆發(fā)之初,云端安全專家即對客戶的網(wǎng)絡(luò)環(huán)境進(jìn)行漏洞掃描,保障第一時間檢查客戶的主機(jī)是否存在此漏洞。對存在漏洞的用戶,檢查并更新了客戶防護(hù)設(shè)備的策略,確??蛻舴雷o(hù)設(shè)備可以防御此漏洞風(fēng)險(xiǎn)。