Kwesbaarheid in NPM wat toelaat dat arbitrêre lêers gewysig word tydens pakketinstallasie

In die opdatering van die NPM 6.13.4-pakketbestuurder, ingesluit in die Node.js-verspreiding en wat gebruik word om modules in die JavaScript-taal te versprei, uitgeskakel drie kwesbaarhede (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), wat toelaat dat arbitrêre stelsellêers gewysig of oorskryf word wanneer 'n pakket wat deur 'n aanvaller voorberei is, geïnstalleer word. As 'n oplossing vir beskerming, kan u dit installeer met die "-ignore-scripts" opsie, wat die uitvoering van ingeboude hanteerderpakkette verbied. NPM-ontwikkelaars het die pakkette wat in die bewaarplek beskikbaar is, ontleed en geen spore gevind van die geïdentifiseerde probleme wat gebruik word om aanvalle uit te voer nie.

CVE-2019-16777 verskyn in vrystellings voor 6.13.4 en laat jou toe om stelseluitvoerbare lêers te oorskryf tydens globale pakketinstallasie. Jy kan slegs lêers vervang in die teikengids waar die uitvoerbare lêers geïnstalleer is (gewoonlik /usr/local/bin).

CVE-2019-16775 и CVE-2019-16776 verskyn in vrystellings voor 6.13.3 en laat jou toe om 'n arbitrêre lêer te skryf deur 'n simboliese skakel na lêers buite die gids met modules (node_modules) te skep of deur die bin-veld in package.json te manipuleer (paaie met "/../" was toegelaat in die asblikveld).

Bron: opennet.ru