Auswirkungen von CVE-2023-26136 auf Tough-Cookie von Open-Source-NPM-Produkten

Wir bei Salesforce wissen, dass die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Daten für Ihr Unternehmen entscheidend sind, und nehmen den Schutz Ihrer Daten sehr ernst.
 

Was ist geschehen?

Am 1. Juni 2023 entdeckte ein Sicherheitsforscher eine JavaScript-Schwachstelle, die das Open-Source-NPM-Projekt Salesforce Tough-Cookie betrifft. Diese Schwachstelle könnte es einem böswilligen Akteur ermöglichen, Cookie-Daten an einen globalen Namespace anzuhängen, was dazu führt, dass Cookies für Personen mit Zugriff auf Ihren laufenden Code offengelegt werden. 
 

Was hat Salesforce unternommen, um dieses Problem zu beheben? 

Am 5. Juni wurde eine Korrektur implementiert und ein Versionshinweis (hier abrufbar) wurde in GitHub veröffentlicht. Am 29. Juni wurde CVE-2023-26136 veröffentlicht, um diese Schwachstelle mit einer CVSS-Bewertung von 6,5 zu beheben.
 

Wie finde ich heraus, ob ich betroffen bin?

Um festzustellen, ob Sie das NPM-Paket Tough-Cookie verwenden und möglicherweise von dieser Schwachstelle betroffen sind, führen Sie die folgenden Schritte aus:

1. Überprüfen Sie, ob Tough-Cookie als Abhängigkeit in der package.json-Datei Ihres Projekts aufgeführt ist. 
2. Wenn Tough-Cookie als Abhängigkeit aufgeführt ist, überprüfen Sie, ob Sie ein CookieJar verwenden, bei dem die Option "rejectPublicSuffixes" auf false gesetzt ist und die Option "store" entweder nicht gesetzt ist oder ein MemoryCookieStore verwendet wird. Wenn Sie diese Konfigurationsoptionen nicht implementieren, sind Sie von dieser Schwachstelle nicht betroffen und müssen keine Maßnahmen ergreifen. Wenn Sie diese Konfigurationsoptionen implementieren, sind die in diesem CookieJar gespeicherten Cookies möglicherweise für unbefugte Akteure mit Zugriff auf Ihren laufenden Code zugänglich.
   1. HINWEIS: Cookies, die aufgrund dieser Schwachstelle offengelegt werden, sind nur während der Lebensdauer der laufenden Anwendung zugänglich. Wenn die Anwendung gestoppt oder neu gestartet wird, wird das CookieJar zurückgesetzt und alle aktiven Verbindungen zum globalen Namespace werden entfernt.
3. Wenn Ihre Site beide oben genannten Konfigurationsoptionen implementiert, führen Sie die folgenden Schritte aus, um potenziell verdächtige Verbindungen zu Ihrem globalen Namespace zu identifizieren. 
   1. Stellen Sie eine Verbindung zu Ihrer laufenden Instanz her.
   2. Untersuchen Sie das globale Object.prototype.
      1. Beispiel: console.log(Object.prototype)
   3. Ermitteln Sie, ob es Eigenschaften von Object.prototype gibt, die mit "/" beginnen.
      1. Beispiel: "/notauth"
   4. Die mit diesen Eigenschaften verbundenen Werte sind Objekte, deren Werte Cookies sind.
      1. Beispiel: {Slonser: Cookie="Slonser=polluted; Domain=__proto__; Path=/notauth; hostOnly=false; aAge=1ms; cAge=35443ms"}

Wenn alle oben genannten Punkte nicht zutreffen, dann ist Ihre laufende Instanz nicht von der Schwachstelle betroffen.
 

Welche Maßnahme sollte ich ergreifen, wenn ich betroffen bin? 

Wenn Sie feststellen, dass Sie von dieser Schwachstelle betroffen sind, aktualisieren Sie Tough-Cookie auf die Version 4.1.3 (hier verfügbar), um einen möglichen unbefugten Zugriff auf Ihre Cookies zu verhindern. Alternativ könnten Sie Ihren Code aktualisieren, um sicherzustellen, dass bei allen Instanzen von CookieJar rejectPublicSuffixes auf true gesetzt ist oder dass ein alternativer store auf MemoryCookieStore gesetzt ist.
 

Was sollte ich tun, wenn ich Fragen habe?