オープンソースの NPM 製品 Tough-Cookie に影響する CVE-2023-26136

お客様のデータの機密性、完全性、可用性は、お客様のビジネスにとって不可欠であり、Salesforce はお客様のデータの保護に真摯に取り組んでいます。
 

概要

2023 年 6 月 1 日、セキュリティ研究者が、Salesforce の tough-cookie オープンソース NPM プロジェクトに影響を及ぼす JavaScript の脆弱性を発見しました。この脆弱性により、悪意のある行為者が Cookie データをグローバル名前空間にアタッチすることが可能になるため、実行中のコードにアクセスできる個人に対して Cookie が公開される可能性があります。 
 

この問題に対する Salesforce の対応 

6 月 5 日に修正が実装され、リリースノート (こちらから確認できます) が GitHub で公開されました。6 月 29 日、この CVSS スコアが 6.5 の脆弱性に対処するため CVE-2023-26136 が発行されました。
 

影響があるかどうかを確認する方法

tough-cookie NPM パッケージを使用しているかどうかと、この脆弱性の影響を受ける可能性があるかどうかを確認するには、次の手順を実行します。

1. プロジェクトの package.json ファイルに tough-cookie が依存物としてリストされているかどうかを確認します。 
2. tough-cookie が依存物としてリストされている場合は、「rejectPublicSuffixes」オプションを false にした上で、「store」オプションを未設定にするか MemoryCookieStore を使用するように設定して CookieJar を使用しているかどうかを確認します。.これらの設定オプションを実装していない場合は、この脆弱性の影響は受けず、対策を講じる必要はありません。これらの設定オプションを実装している場合、この CookieJar に保存された Cookie により、不正な行為者が実行中のコードにアクセス可能になる場合があります。
   1. 注意: この脆弱性によって公開される Cookie は、実行中のアプリケーションのライフタイム中のみアクセス可能です。アプリケーションを停止または再起動すると CookieJar はリセットされ、グローバル名前空間へのアクティブな接続はすべて削除されます。
3. サイトが上記の設定オプションを両方実装している場合は、次の手順に従って、グローバル名前空間への不審な接続の可能性を特定します。 
   1. 実行中のインスタンスに接続します。
   2. グローバルな Object.prototype を確認します。
      1. 例: console.log(Object.prototype)
   3. Object.prototype のプロパティに「/」で始まるものがあるかどうかを調べます。
      1. 例: 「/notauth」
   4. これらのプロパティにアタッチされた値はオブジェクトであり、その値は Cookie です。
      1. 例: {Slonser: Cookie="Slonser=polluted; Domain=__proto__; Path=/notauth; hostOnly=false; aAge=1ms; cAge=35443ms"}

上記のすべてに該当しない場合は、実行中のインスタンスは脆弱性の影響を受けません。
 

影響を受ける場合の対応 

この脆弱性の影響を受けると判断した場合は、Cookie への不正なアクセスをなくすため、tough-cookie をバージョン 4.1.3 にアップグレードしてください。バージョン 4.1.3 はこちらから入手できます。または、コードを更新して CookieJar のすべてのインスタンスが rejectPublicSuffixes を true にするか、MemoryCookieStore に代わるストアを使用するように設定することもできます。
 

問い合わせ先