UCloud-201702-003: Node.js反序列化远程代码执行漏洞安全预警 | U刻
  • UCloud-201702-003: Node.js反序列化远程代码执行漏洞安全预警

    栏目:安全资讯

    nodejs

    尊敬的UCloud用户:

    Node.js的node-serialize库中存在漏洞,该漏洞通过传输JavaScript IIFE,利用恶意代码可以达到反序列化远程任意代码执行的效果,危害严重。请检查使用的nodejs并进行安全修复。

    影响范围

    Node.js现有的所有版本

    修复方案
    1、启用UEWAF自动防御攻击https://www.ucloud.cn/site/product/uewaf.html
    2、厂商尚未提供漏洞修补方案,请关注主页更新情况:https://github.com/luin/serialize
    3、可以通过以下临时解决方案加固服务器主机:
    1) 修改/node_modules/node-serialize/lib/serialize.js中的FUNCFLAG值为随机值并保证该值不被泄漏。
    2) 确保Serialize字符串仅内部发送。
    3) 使用公钥(RSA)加密Serialize字符串,确保字符串不被篡改。

     

    漏洞详情
    CVE-2017-5941:Node.js反序列化模块node-serialize库中的unserialize()函数未做安全处理,该漏洞通过传递调用JavaScriptIIFE函数表达式的方式实现远程任意代码执行的效果。攻击者可通过远程攻击获得当前服务器运行环境权限,由于实际部署中node.js运行环境较多为操作系统root权限,因此可完全控制服务器主机。

    PoC利用过程:https://youtu.be/GFacPoWOcw0

    参考链接