lodash@4.17.16 の脆弱性修正について

4.17.16 にていくつかの脆弱性が修正されている

• Releases · lodash/lodash

template, zipObjectDeep あたりを使ってトリッキーなコードをかいていなければ挙動に変更はなさそうである

sourceURLに改行をふくめないように

差分はこちら

• Sanitize sourceURL so it cannot affect evaled code (#4518) · lodash/lodash@e7b28ea

ブラウザにはsourceURLという仕組みがあり、デバッグ時のコードの断片に名前をつけておくことができる。これはevalされるコードやインラインのjsコードをデバッグしたい時に使われる

• eval ソースをデバッグする - 開発ツール | MDN

sourceURL の記法はインラインコメントにて定義するというものだが、インラインコメントなのでこの文字列に改行を含められてしまうと、コメント外に任意のjsコードが配置できるということになってしまう

これまでは [\r\n] をサニタイズしていたが、マルチバイトの改行文字列もサニタイズしとかないといけなかったということで \s をサニタイズするように変更されている。そもそも sourceURL に特殊な不可視文字は必要ないのだろう

prototype pollution 対応

差分はこちら

• fix(zipObjectDeep): prototype pollution (#4759) · lodash/lodash@c84fe82

jsではオブジェクトの prototype, constructor といった名前の属性が特別な意味を持っているが、jsは動的な言語なのでこれらの属性は後から書き換えることができてしまう。

この特性が悪用される脆弱性を prototype pollution と呼ぶ。たとえばライブラリをロードしただけで jQuery#ready が突然ファーウェイと通信し始めたりするとよろしくないということだ

対応は単純に特殊な名前の属性は処理をスキップするというもの