protobuf.js(프로토버프.js)에서 여섯 가지 취약점이 발견되었습니다. 이는 Node.js의 핵심 라이브러리로, 원격 코드 실행 또는 서비스 거부를 허용합니다. 문제는 기술적인 것뿐만이 아닙니다. 프로젝트를 유지 관리하는 사람들은 자금 지원 없이 자원봉사자인 반면, Google과 같은 거대 기업들은 보안에 기여하지 않고 이를 사용하고 있습니다.
직렬화 결함, 공격의 문을 열다 🛡️
취약점은 protobuf.js의 버퍼 조작 및 유형 검증에 영향을 미쳐, 공격자가 메모리를 오버플로하거나 임의 코드를 실행하는 잘못된 형식의 메시지를 보낼 수 있게 합니다. 문제의 근본 원인은 지속적인 감사를 위한 자원 부족에 있습니다. 대기업들은 이 라이브러리를 핵심 시스템에 의존하지만 유지 관리에 투자하지 않아, 보안을 소수의 무보수 개발자에게 맡기고 있습니다.
오픈 소스: 기업은 요구하지만 비용은 지불하지 않는다 💸
Google, Amazon 등은 protobuf.js를 사용하여 클라우드에서 데이터를 이동시키지만, 결함이 발생하면 패치는 실제 업무 사이에 자원봉사자가 작성합니다. 이는 이웃에게 무료로 집을 지켜달라고 부탁하고, 도둑이 들었을 때 더 나은 자물쇠를 설치하지 않았다고 불평하는 것과 같습니다. 시민들은 커피와 선의로 유지되는 시스템을 신뢰하는 반면, 기업은 수백만 달러를 벌어들입니다.