CVE-2024-34346

Versões do Deno anteriores à 1.43

A sandbox do Deno pode ser enfraquecida inesperadamente ao permitir acesso de leitura/gravação a arquivos privilegiados em vários locais nas plataformas Unix e Windows. Por exemplo, a leitura de /proc/self/environ pode fornecer acesso equivalente a --allow-env, e a gravação em /proc/self/mem pode fornecer acesso equivalente a --allow-all. Os usuários que concedem acesso de leitura e gravação a todo o sistema de arquivos podem não perceber que esses acessos a esses arquivos podem ter consequências adicionais e indesejadas.

Para versões do Deno anteriores à 1.43, considere adicionar sinalizadores de negação explícitos para restringir o acesso a arquivos confidenciais, tais como --deny-read=/dev, --deny-read=/sys, --deny-read=/proc, --deny-read=/etc, --deny-write=/dev, --deny-write=/sys, --deny-write=/proc e --deny-write=/etc. Observe que links simbólicos em locais permitidos podem anular essa proteção em versões anteriores do Deno.

Para o Deno 1.43 e versões posteriores, certifique-se de que o acesso explícito --allow-all seja necessário para ler ou gravar em /etc, /dev em plataformas Unix, bem como em /proc e /sys em plataformas Linux, e em qualquer caminho que comece com `` no Windows.