Docker ने नेस्टेड डिपेंडेंसी में महत्वपूर्ण RCE का पैच किया, LangChain.js के लिए अपस्ट्रीम फिक्स

Node.jsDevOpsसुरक्षाDockerसप्लाई चेन

मुख्य अपडेट

Docker ने एक महत्वपूर्ण रिमोट-कोड-एक्ज़ीक्यूशन सुरक्षा दोष (CVE-2025-12735) की पहचान की जो expr-eval जावास्क्रिप्ट एक्सप्रेशन इवैल्यूएटर में उत्पन्न हुआ, जो कई प्रोजेक्ट्स में तीन परतों की गहराई में उपयोग किया जाता है, उन्होंने अपने हार्डनड इमेज को expr-eval को एक बनाए रखी गई वैकल्पिक (math-expression-evaluator) के साथ बदलकर पैच किया, और LangChain.js के लिए अपस्ट्रीम फिक्स सबमिट किया ताकि डाउनस्ट्रीम प्रोजेक्ट्स (जिसमें प्रभावित Kibana इमेज और LLM-शक्ति वाले ऐप्स शामिल हैं) को एक स्थायी समाधान प्राप्त हो सके। (docker.com)

यह क्यों महत्वपूर्ण है

यह एक उच्च-प्रभाव वाला सप्लाई-चेन सुरक्षा घटना है जिसके व्यावहारिक परिणाम हैं: यह सुरक्षा दोष अनियोजित नेस्टेड डिपेंडेंसी में तैयार किए गए एक्सप्रेशनों के माध्यम से मनमाने कोड के निष्पादन की अनुमति देता है, और LangChain.js—जो कई LLM अनुप्रयोगों के लिए आधार है—ने अपने ट्रांज़िटिव ट्री के माध्यम से उस डिपेंडेंसी को खींचा, जिससे सैकड़ों हजारों से लेकर लाखों साप्ताहिक उपयोगकर्ताओं को जोखिम में डाल दिया। Docker का दृष्टिकोण (तुरंत सुरक्षा के लिए एक हार्डनड इमेज भेजना और अपस्ट्रीम प्रतिस्थापन करना ताकि सुरक्षा दोष स्रोत पर हटा दिया जाए) विक्रेताओं या डाउनस्ट्रीम बिल्ड्स द्वारा समस्या को फिर से पेश करने की खिड़की को कम करता है। व्यावहारिक रूप से, Kibana, LangChain.js, या किसी भी ऐप को जो ट्रांज़िटिव रूप से expr-eval शामिल कर सकता है, को अपनी डिपेंडेंसी ग्राफ़ की पुष्टि करनी चाहिए, Docker के अपस्ट्रीम फिक्स को शामिल करने वाले LangChain.js रिलीज़ पर अपडेट करना चाहिए (या एक समकक्ष पैच लागू करना चाहिए), हार्डनड फिक्स को शामिल करने वाले कंटेनर इमेज को फिर से बनाना और पुनः तैनात करना चाहिए, और सुनिश्चित करना चाहिए कि CI/CD डिपेंडेंसी स्कैनिंग और SBOM जांच भविष्य में समान नेस्टेड जोखिमों को पकड़ें। (docker.com)

स्रोत

आगे पढ़ें

नवीनतम डाइजेस्ट देखेंसभी डाइजेस्ट देखें