Ranjivost u NPM-u koja dozvoljava da se proizvoljni fajlovi modifikuju tokom instalacije paketa

U ažuriranju menadžera paketa NPM 6.13.4, koji je uključen u distribuciju Node.js i koristi se za distribuciju modula na JavaScript jeziku, eliminisan tri ranjivosti (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), koji omogućava da se proizvoljni sistemski fajlovi modifikuju ili prepisuju prilikom instaliranja paketa koji je pripremio napadač. Kao zaobilazno rešenje za zaštitu, možete ga instalirati sa opcijom “-ignore-scripts”, koja zabranjuje izvršavanje ugrađenih paketa za rukovanje. NPM programeri su analizirali pakete dostupne u spremištu i nisu pronašli tragove identifikovanih problema koji su korišteni za izvođenje napada.

CVE-2019-16777 manifestovani u izdanjima prije 6.13.4 i omogućava vam da prepišete sistemske izvršne datoteke tokom globalne instalacije paketa. Možete zamijeniti datoteke samo u ciljnom direktoriju u kojem su instalirane izvršne datoteke (obično /usr/local/bin).

CVE-2019-16775 и CVE-2019-16776 pojavljuju se u izdanjima prije 6.13.3 i omogućavaju vam pisanje proizvoljnog fajla kreiranjem simboličke veze na datoteke izvan direktorija s modulima (node_modules) ili manipulacijom bin polje u package.json (putanja sa “/../” su dozvoljeno u polju za smeće).

izvor: opennet.ru