lodash@4.17.16 の脆弱性修正について

Jul 28, 2020 12:23 · 587 words · 2 minute read

4.17.16 にていくつかの脆弱性が修正されている

template, zipObjectDeep あたりを使ってトリッキーなコードをかいていなければ挙動に変更はなさそうである

sourceURLに改行をふくめないように

差分はこちら

ブラウザにはsourceURLという仕組みがあり、デバッグ時のコードの断片に名前をつけておくことができる。これはevalされるコードやインラインのjsコードをデバッグしたい時に使われる

sourceURL の記法はインラインコメントにて定義するというものだが、インラインコメントなのでこの文字列に改行を含められてしまうと、コメント外に任意のjsコードが配置できるということになってしまう

これまでは [\r\n] をサニタイズしていたが、マルチバイトの改行文字列もサニタイズしとかないといけなかったということで \s をサニタイズするように変更されている。そもそも sourceURL に特殊な不可視文字は必要ないのだろう

prototype pollution 対応

差分はこちら

jsではオブジェクトの prototype, constructor といった名前の属性が特別な意味を持っているが、jsは動的な言語なのでこれらの属性は後から書き換えることができてしまう。

この特性が悪用される脆弱性を prototype pollution と呼ぶ。たとえばライブラリをロードしただけで jQuery#ready が突然ファーウェイと通信し始めたりするとよろしくないということだ

対応は単純に特殊な名前の属性は処理をスキップするというもの

tweet Share