ProHoster > Π‘Π»ΠΎΠ³ > balita sa internet > Usa ka pag-atake sa NPM nga nagtugot kanimo sa pagtino sa presensya sa mga pakete sa mga pribadong repositoryo

Usa ka pag-atake sa NPM nga nagtugot kanimo sa pagtino sa presensya sa mga pakete sa mga pribadong repositoryo

Nailhan ang usa ka sayup sa NPM nga nagtugot kanimo nga makit-an ang paglungtad sa mga pakete sa mga sirado nga repositoryo. Ang isyu tungod sa lain-laing mga panahon sa pagtubag sa diha nga naghangyo sa usa ka kasamtangan ug wala-anaa nga pakete gikan sa usa ka ikatulo nga partido nga walay access sa repositoryo. Kung walay access alang sa bisan unsang mga pakete sa pribadong mga repositoryo, ang registry.npmjs.org server nagbalik sa usa ka sayup nga adunay code nga "404", apan kung adunay usa ka pakete nga adunay gihangyo nga ngalan, ang sayup gi-isyu sa usa ka mamatikdan nga paglangan. Ang usa ka tig-atake mahimong mogamit niini nga bahin aron mahibal-an ang presensya sa usa ka pakete pinaagi sa pagpangita sa mga ngalan sa pakete gamit ang mga diksyonaryo.

Ang pagdeterminar sa mga ngalan sa package sa mga pribadong repository mahimong gikinahanglan aron makahimo ug dependency mixing attack nga nagmaniobra sa intersection sa dependency name sa publiko ug internal nga mga repository. Nahibal-an kung unsang mga internal nga pakete sa NPM ang naa sa mga repositoryo sa korporasyon, ang usa ka tig-atake mahimong magbutang mga pakete nga adunay parehas nga mga ngalan ug mas bag-ong mga numero sa bersyon sa publiko nga repositoryo sa NPM. Kung sa panahon sa asembliya ang mga internal nga librarya dili klaro nga nalambigit sa ilang repository sa mga setting, ang npm package manager mag-isip sa publiko nga repository nga usa ka mas taas nga prayoridad ug mag-download sa package nga giandam sa tig-atake.

Gipahibalo ang GitHub bahin sa problema kaniadtong Marso apan nagdumili sa pagdugang proteksyon batok sa pag-atake, nga gikutlo ang mga limitasyon sa arkitektura. Ang mga kompanya nga naggamit ug pribado nga mga repositoryo girekomenda nga matag karon ug unya susihon ang hitsura sa nagsapaw-sapaw nga mga ngalan sa publiko nga tipiganan o maghimo mga stubs alang kanila nga adunay mga ngalan nga nagbalikbalik sa mga ngalan sa mga pakete sa mga pribadong repositoryo, aron ang mga tig-atake dili makabutang sa ilang mga pakete nga adunay nagsapaw nga mga ngalan.

Source: opennet.ru

Idugang sa usa ka comment