Vulnerabilità in NPM chì permette di mudificà i schedarii arbitrarii durante a stallazione di u pacchettu

In l'aghjurnamentu di u gestore di pacchetti NPM 6.13.4, inclusu in a distribuzione Node.js è utilizatu per distribuisce moduli in lingua JavaScript, eliminatu trè vulnerabilità (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), chì permette à i schedarii di u sistema arbitrariu per esse mudificati o soprascritti quandu si stallanu un pacchettu preparatu da un attaccu. Cum'è una soluzione per a prutezzione, pudete installà cù l'opzione "-ignore-scripts", chì pruibisce l'esekzione di pacchetti di gestori integrati. I sviluppatori di NPM anu analizatu i pacchetti dispunibuli in u repository è ùn anu trovu traccia di i prublemi identificati utilizati per fà attacchi.

CVE-2019-16777 appare in versioni prima di 6.13.4 è vi permette di rimpiazzà i fugliali eseguibili di u sistema durante a stallazione di u pacchettu globale. Pudete solu rimpiazzà i fugliali in u cartulare di destinazione induve i fugliali eseguibili sò stallati (in solitu /usr/local/bin).

CVE-2019-16775 и CVE-2019-16776 appariscenu in versioni prima di 6.13.3 è permettenu di scrive un schedariu arbitrariu creendu un ligame simbolicu à i schedari fora di u cartulare cù moduli (node_modules) o manipulendu u campu bin in package.json (percorsi cù "/../" eranu permessu in u campu di bin).

Source: opennet.ru