Paketin quraşdırılması zamanı ixtiyari faylların dəyişdirilməsinə imkan verən NPM-də zəiflik

Node.js paylanmasına daxil edilmiş və JavaScript dilində modulları yaymaq üçün istifadə edilən NPM 6.13.4 paket menecerinin yeniləməsində, aradan qaldırıldı üç zəiflik (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), təcavüzkar tərəfindən hazırlanmış paketi quraşdırarkən ixtiyari sistem fayllarının dəyişdirilməsinə və ya üzərinə yazılmasına imkan verir. Qoruma üçün həll yolu olaraq, onu daxili işləyici paketlərinin icrasını qadağan edən “-ignore-scripts” seçimi ilə quraşdıra bilərsiniz. NPM tərtibatçıları depoda mövcud olan paketləri təhlil etdilər və hücumların həyata keçirilməsi üçün istifadə edilən müəyyən edilmiş problemlərin izlərini aşkar etmədilər.

CVE-2019-16777 görünür 6.13.4-dən əvvəlki buraxılışlarda və qlobal paketin quraşdırılması zamanı sistemin icra olunan fayllarının üzərinə yazmağa imkan verir. Siz yalnız icra edilə bilən faylların quraşdırıldığı hədəf kataloqdakı faylları əvəz edə bilərsiniz (adətən /usr/local/bin).

CVE-2019-16775 и CVE-2019-16776 6.13.3-dən əvvəl buraxılışlarda görünür və modullarla (node_modules) qovluqdan kənar fayllara simvolik keçid yaratmaqla və ya package.json-da zibil sahəsini idarə etməklə ixtiyari fayl yazmağa imkan verir (“/../” olan yollar idi. zibil sahəsində icazə verilir).

Mənbə: opennet.ru