🥇NPM-এর দুর্বলতা যা প্যাকেজ ইনস্টলেশনের সময় ইচ্ছামত ফাইল পরিবর্তন করার অনুমতি দেয়

NPM 6.13.4 প্যাকেজ ম্যানেজারের আপডেটে, Node.js বিতরণে অন্তর্ভুক্ত এবং জাভাস্ক্রিপ্ট ভাষায় মডিউল বিতরণ করতে ব্যবহৃত, নির্মূল তিনটি দুর্বলতা (জন্য CVE-2019-16775, জন্য CVE-2019-16776 и জন্য CVE-2019-16777), যা আক্রমণকারী দ্বারা প্রস্তুত একটি প্যাকেজ ইনস্টল করার সময় নির্বিচারে সিস্টেম ফাইলগুলিকে সংশোধন বা ওভাররাইট করার অনুমতি দেয়। সুরক্ষার জন্য একটি সমাধান হিসাবে, আপনি "-ignore-scripts" বিকল্পের সাথে এটি ইনস্টল করতে পারেন, যা অন্তর্নির্মিত হ্যান্ডলার প্যাকেজগুলি সম্পাদন নিষিদ্ধ করে। NPM বিকাশকারীরা সংগ্রহস্থলে উপলব্ধ প্যাকেজগুলি বিশ্লেষণ করেছেন এবং আক্রমণ চালানোর জন্য ব্যবহৃত চিহ্নিত সমস্যার কোনও চিহ্ন খুঁজে পাননি।

জন্য CVE-2019-16777 প্রকাশ করা হয় 6.13.4 এর পূর্বে প্রকাশিত রিলিজে এবং গ্লোবাল প্যাকেজ ইনস্টলেশনের সময় সিস্টেম এক্সিকিউটেবল ফাইলগুলিকে ওভাররাইট করার অনুমতি দেয়। আপনি শুধুমাত্র টার্গেট ডিরেক্টরির ফাইলগুলি প্রতিস্থাপন করতে পারেন যেখানে এক্সিকিউটেবল ফাইলগুলি ইনস্টল করা হয় (সাধারণত /usr/local/bin)।

জন্য CVE-2019-16775 и জন্য CVE-2019-16776 6.13.3 এর আগে রিলিজগুলিতে উপস্থিত হয় এবং আপনাকে মডিউল (নোড_মডিউল) সহ ডিরেক্টরির বাইরের ফাইলগুলিতে একটি প্রতীকী লিঙ্ক তৈরি করে বা package.json-এ বিন ক্ষেত্রকে ম্যানিপুলেট করে একটি নির্বিচারে ফাইল লেখার অনুমতি দেয় (“/../” সহ পাথগুলি ছিল বিন ক্ষেত্রে অনুমোদিত)।

উত্স: opennet.ru

এনপিএম-এর দুর্বলতা যা প্যাকেজ ইনস্টলেশনের সময় নির্বিচারে ফাইলগুলিকে সংশোধন করার অনুমতি দেয়