ProHoster > ΠΠ»ΠΎΠ³ > balita sa internet > Pagkahuyang sa NPM nga nagtugot sa arbitraryong mga file nga mabag-o sa panahon sa pag-install sa package
Pagkahuyang sa NPM nga nagtugot sa arbitraryong mga file nga mabag-o sa panahon sa pag-install sa package
Sa update sa NPM 6.13.4 package manager, gilakip sa Node.js distribution ug gigamit sa pag-apod-apod sa mga module sa JavaScript nga pinulongan, tulo ka mga kahuyangan (, ΠΈ ), nga nagtugot sa arbitraryong mga file sa sistema nga mabag-o o ma-overwrit sa dihang mag-install ug package nga giandam sa usa ka tig-atake. Isip usa ka workaround alang sa proteksyon, mahimo nimo kini i-install gamit ang "-ignore-scripts" nga kapilian, nga nagdili sa pagpatuman sa mga built-in nga handler packages. Gisusi sa mga developer sa NPM ang mga pakete nga magamit sa repository ug walaβy nakit-an nga mga timailhan sa nahibal-an nga mga problema nga gigamit sa paghimo sa mga pag-atake.
CVE-2019-16777 sa mga pagpagawas sa wala pa ang 6.13.4 ug nagtugot kanimo sa pag-overwrite sa mga executable nga file sa sistema sa panahon sa pag-instalar sa global nga pakete. Mahimo ra nimo ilisan ang mga file sa target nga direktoryo diin gi-install ang mga executable file (kasagaran /usr/local/bin).
ΠΈ makita sa mga pagpagawas sa wala pa ang 6.13.3 ug tugotan ka sa pagsulat sa usa ka arbitraryong file pinaagi sa paghimo og simbolo nga sumpay sa mga file sa gawas sa direktoryo nga adunay mga module (node_modules) o pinaagi sa pagmaniobra sa bin field sa package.json (mga agianan nga adunay "/../" gitugotan sa natad sa bin).
