Уязвимость в NPM, позволяющая изменить произвольные файлы при установке пакета
В обновлении пакетного менеджера NPM 6.13.4, входящего в поставку Node.js и применяемого для распространения модулей на языке JavaScript, три уязвимости (, и ), позволяющие модифицировать или перезаписать произвольные системные файлы при установке пакета, подготовленного злоумышленником. В качестве обходного пути защиты может быть установка с опцией «—ignore-scripts», запрещающей выполнение встроенных пакеты обработчиков. Разработчики NPM проанализировали имеющиеся в репозитории пакеты и не нашли следов использования выявленных проблем для совершения атак.
CVE-2019-16777 в выпусках до 6.13.4 и позволяет перезаписать системные исполняемые файлы в процессе глобальной установки пакета. Подменить можно только файлы в целевом каталоге, куда устанавливаются исполняемые файлы (обычно /usr/local/bin).
и проявляются в выпусках до 6.13.3 и позволяют записать произвольный файл через создание символической ссылки на файлы вне каталога с модулями (node_modules) или через манипуляции с полем bin в package.json (в поле bin допускалось использование путей с «/../»).
A technical specialist at ProHoster with over six years of experience in server administration, VPN solutions, and network security. I manage infrastructure setup and support, monitor service stability, and implement solutions to protect client data. I also contribute to performance optimization and compliance with modern security and privacy requirements.
Мы используем файлы cookie, чтобы обеспечить наилучший опыт на нашем сайте. Продолжая пользоваться сайтом, вы соглашаетесь с нашей политикой конфиденциальности.Принять
