ProHoster > Bloc > notícies d'internet > Vulnerabilitat en NPM que permet modificar fitxers arbitraris durant la instal·lació del paquet
Vulnerabilitat en NPM que permet modificar fitxers arbitraris durant la instal·lació del paquet
En l'actualització del gestor de paquets NPM 6.13.4, inclòs a la distribució Node.js i utilitzat per distribuir mòduls en llenguatge JavaScript, eliminat tres vulnerabilitats (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), que permet modificar o sobreescriure fitxers arbitraris del sistema quan s'instal·la un paquet preparat per un atacant. Com a solució alternativa per a la protecció, podeu instal·lar-lo amb l'opció "-ignore-scripts", que prohibeix l'execució de paquets de controladors integrats. Els desenvolupadors de NPM van analitzar els paquets disponibles al repositori i no van trobar rastres dels problemes identificats que s'utilitzaven per dur a terme atacs.
CVE-2019-16777 apareix en versions anteriors a la 6.13.4 i us permet sobreescriure els fitxers executables del sistema durant la instal·lació global del paquet. Només podeu substituir fitxers al directori de destinació on estan instal·lats els fitxers executables (normalment /usr/local/bin).
CVE-2019-16775 и CVE-2019-16776 apareixen en versions anteriors a la 6.13.3 i us permeten escriure un fitxer arbitrari creant un enllaç simbòlic a fitxers fora del directori amb mòduls (node_modules) o manipulant el camp bin a package.json (els camins amb "/../" eren permès al camp de la paperera).