ثغرة أمنية في NPM تسمح بتعديل الملفات العشوائية أثناء تثبيت الحزمة

في تحديث مدير الحزم NPM 6.13.4، المضمن في توزيع Node.js والمستخدم لتوزيع الوحدات النمطية بلغة JavaScript، اقصاء ثلاث نقاط ضعف (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777)، والذي يسمح بتعديل ملفات النظام العشوائية أو الكتابة فوقها عند تثبيت حزمة أعدها مهاجم. كحل بديل للحماية، يمكنك تثبيته باستخدام خيار "-ignore-scripts"، الذي يمنع تنفيذ حزم المعالج المضمنة. قام مطورو NPM بتحليل الحزم المتوفرة في المستودع ولم يعثروا على أي آثار للمشكلات المحددة المستخدمة لتنفيذ الهجمات.

CVE-2019-16777 يتجلى في الإصدارات السابقة لـ 6.13.4 ويسمح لك بالكتابة فوق ملفات النظام القابلة للتنفيذ أثناء تثبيت الحزمة العامة. يمكنك فقط استبدال الملفات الموجودة في الدليل الهدف حيث تم تثبيت الملفات القابلة للتنفيذ (عادةً /usr/local/bin).

CVE-2019-16775 и CVE-2019-16776 تظهر في الإصدارات قبل 6.13.3 وتسمح لك بكتابة ملف عشوائي عن طريق إنشاء رابط رمزي للملفات خارج الدليل باستخدام الوحدات النمطية (node_modules) أو عن طريق معالجة حقل الحاوية في package.json (كانت المسارات ذات "/../" مسموح به في حقل الصندوق).

المصدر: opennet.ru