National Vulnerability Database NIST merilis imbauan keamanan terkait kerentanan CVE-2020-7699 yang berpengaruh pada express-file upload up to 1.1.7. Berdasarkan CVSS Version 3.0, kerentanan tersebut memiliki nilai kerentanan 9.8 yang termasuk kategori KRITIKAL.
Kerentanan tersebut ditemukan pada express file-upload up to versi 1.1.7. Kerentanan tersebut dipengaruhi oleh beberapa malfungsi seperti memanipulasi request HTTP yang berdampak pada kerentanan Remote Code Execution (RCE). Kerentanan tersebut berdampak pada beberapa konfigurasi software. Serangan dapat dilakukan dari jarak jauh dan tidak membutuhkan otentikasi apapun. Nilai Kerentanan Berdasarkan CVSS v 3.X, kerentanan ini memiliki nilai 9.8 dan dikategorikan KRITIKAL.
Kerentanan ini terdapat pada versi sebelum express-file upload 1.1.8 dan rentan terhadap prototype pollution. Jika opsi parseNested diaktifkan, mengirimkan request HTTP yang korup dapat mengakibatkan serangan RCE.
Prototype pollution adalah kerentanan yang mempengaruhi JavaScript. Prototype pollution memiliki kemampuan menginjeksi kode JavaScript yang memungkinkan semua atribut objek diubah seperti _proto_, constructor dan prototype. Penyerang memanipulasi atribut ini untuk melakukan overwrite pada objek aplikasi JavaScript dengan menginjeksi nilai-nilai lain.
Properti pada object.prototype kemudian diwarisi oleh semua objek JavaScript melalui rantai protipe. Terdapat dua cara utama terjadinya prototype pollution yaitu penggabungan Objectrecrusive yang tidak aman dan definisi property berdasarkan path atau jalur. Lingkungan yang terpengaruh adalah application server dan web server.
Diharapkan pengguna yang terdampak agar melakukan upgrade ke versi 1.1.8 untuk terhindar dari kerentanan ini. Cara Pencegahannya dapat dilakukan dengan melakukan freeze prototype menggunakan Object.freeze (Object.prototype), melakukan validasi skema input JSON, menghindari penggunaan fungsi gabungan yang tidak aman, menggunakan objek tanpa prototype (object.create(null)) dan menggunakan best practice Map bukan Object.
Bagian Komunikasi Publik, Biro Hukum dan Hubungan Masyarakat – BSSN
Cegah Penyebaran Virus Corona, Koperasi Pegawai BSSN Gelar RAT Secara Daring
Jakarta, BSSN.go.id – Dalam rangka mencegah penyebaran Virus Corona (Covid-19), Koperasi Kekar Abadi yang merupakan organisasi usaha milik pegawai Badan Siber dan Sandi Negara Republik Indonesia, menggelar Rapat Anggota Tahunan (RAT) secara daring pada Jumat...
Resmi Dibentuk, Kemenkeu-CSIRT Menutup Program Prioritas Strategis BSSN di Tahun 2020
Jakarta, BSSN.go.id – Badan Siber dan Sandi Negara (BSSN) Republik Indonesia menyambut baik dibentuknya Tim Tanggap Insiden Keamanan Siber Kementerian Keuangan yang merupakan kolaborasi dan sinergitas di sektor pemerintah. Kepala BSSN, yang diwakili Deputi Bidang...
BSSN Apresiasi Pembentukan Tim Tanggap Insiden Keamanan Siber Kementerian Luar Negeri
Jakarta, BSSN.go.id – Badan Siber dan Sandi Negara (BSSN) Republik Indonesia menyambut baik dibentuknya Tim Tanggap Insiden Keamanan Siber Kementerian Luar Negeri yang merupakan kolaborasi dan sinergitas di sektor pemerintah. Mewakili Kepala BSSN, Deputi III Bidang...
IMBAUAN PROSEDUR KEAMANAN KERENTANAN CHAT GIPHY ARBITRARY FILE WRITE/PATH TRAVERSAL PADA APLIKASI CLIENT ZOOM (CVE-2020-6109)
Zoom merupakan aplikasi video conference dengan berbagai fitur tambahan, salah satunya adalah fitur chat (percakapan). Aplikasi Zoom client mampu mengirim pesan dalam bentuk animasi dengan format GIF melalui fitur chat. Ditemukan kerentanan path traversal pada...
Imbauan Keamanan Kerentanan Port Thunderbolt
Thunderbolt digadang-gadang sebagai teknologi port berperforma tinggi yang mampu menjembatani pemindahan data dengan ukuran yang cukup besar dalam waktu yang relatif lebih singkat. Thunderbolt juga mampu menghubungkan beberapa perangkat sekaligus dengan ukuran daya...
Rencana Strategis Badan Siber dan Sandi Negara Tahun 2018 – 2019
Perubahan paradigma menuju tata kelola pemerintahan yang baik telah mendorong pelaksanaan penerapan sistem akuntabilitas kinerja bagi penyelenggara negara, sebagai instrumen utama pertanggungjawaban pelaksanaan pemerintahan. Rencana Strategis (Renstra) merupakan salah...