| 漏洞类型 | 对错误会话暴露数据元素 | 发现时间 | 2024-03-21 | 漏洞等级 | 高危 |
| MPS编号 | MPS-4dbm-51vn | CVE编号 | CVE-2024-27935 | 漏洞影响广度 | 一般 |
漏洞危害
| OSCS 描述 |
| Deno 是开源的一个简单、现代且安全的 JavaScript 和 TypeScript 运行环境。 在 Deno 的 Node.js 兼容运行环境中,由于 stream_wrap.ts 中重用全局缓冲区(BUF)来执行 socket 或文件源的 Node.js 流的异步读取操作时,使用 #read() 方法来读取全局缓冲区中的数据,导致所有读取操作共用同一缓冲区,从而引发了数据隔离的失败,使得某一会话的数据有可能被错误地传送到另一会话中。攻击者可以通过创建socket读取全局缓冲区中的敏感信息。 该漏洞不会影响使用 Deno.listen 和 Deno.connect API 创建的 Deno 网络流。 参考链接:https://www.oscs1024.com/hd/MPS-4dbm-51vn |
影响范围及处置方案
OSCS 平台影响范围和处置方案
| 影响范围 | 处置方式 | 处置方法 |
| deno (-∞, 1.36.3) | 升级 | 升级deno到 1.36.3 或更高版本 |
| 参考链接:https://www.oscs1024.com/hd/MPS-4dbm-51vn | ||
排查方式
| 方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html |
| 方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html |
| 方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html |
| 更多排查方式:https://www.murphysec.com/docs/faqs/integration/ |
本文参考链接
https://www.oscs1024.com/hd/MPS-4dbm-51vn
https://nvd.nist.gov/vuln/detail/CVE-2024-27935
https://github.com/denoland/deno/commit/3e9fb8aafd9834ebacd27734cea4310caaf794c6
https://github.com/denoland/deno/issues/20188
https://github.com/denoland/deno/security/advisories/GHSA-wrqv-pf6j-mqjp
