የጥቅል ጭነት ጊዜ የዘፈቀደ ፋይሎች እንዲሻሻሉ የሚፈቅድ በNPM ውስጥ ተጋላጭነት

በ Node.js ስርጭት ውስጥ የተካተተ እና ሞጁሎችን በጃቫስክሪፕት ቋንቋ ለማሰራጨት በ NPM 6.13.4 የጥቅል አስተዳዳሪ ማሻሻያ ውስጥ፣ ተወግዷል ሶስት ተጋላጭነቶች (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777) በአጥቂ የተዘጋጀ ፓኬጅ ሲጭን የዘፈቀደ የስርዓት ፋይሎች እንዲሻሻሉ ወይም እንዲገለበጡ ያስችላቸዋል። ለጥበቃ መፍትሄ እንደመሆንዎ መጠን አብሮገነብ ተቆጣጣሪ ፓኬጆችን መፈጸምን የሚከለክለውን "-ኢኖ-ስክሪፕቶች" በሚለው አማራጭ መጫን ይችላሉ. የኤንፒኤም ገንቢዎች በማጠራቀሚያው ውስጥ ያሉትን ጥቅሎች ተንትነዋል እና የተገለጹት ችግሮች ጥቃቶችን ለመፈጸም ምንም አይነት ዱካ አላገኙም።

CVE-2019-16777 ፕራይቬትስ ከ 6.13.4 በፊት በተለቀቁት እና በአለምአቀፍ ጥቅል ጭነት ጊዜ የስርዓት ተፈጻሚ ፋይሎችን ለመፃፍ ያስችልዎታል. ፋይሎችን በዒላማው ማውጫ ውስጥ መተካት የሚችሉት ተፈጻሚ ፋይሎች በተጫኑበት (አብዛኛውን ጊዜ /usr/local/bin) ነው።

CVE-2019-16775 и CVE-2019-16776 ከ6.13.3 በፊት በተለቀቁት ልቀቶች ውስጥ ይታይ እና ከማውጫው ውጭ ወደ ሞጁሎች (node_modules) ወይም በ pack.json ("/ ../" የሚሉ መንገዶች ያሉት የቢን መስክን በመጠቀም ከማውጫው ውጭ ወደሆኑ ፋይሎች ምሳሌያዊ አገናኝ በመፍጠር የዘፈቀደ ፋይል እንዲጽፉ ይፈቅድልዎታል) በቆሻሻ ማጠራቀሚያ ውስጥ ይፈቀዳል).

ምንጭ: opennet.ru