Chyba zabezpečení v NPM, která umožňuje upravovat libovolné soubory během instalace balíčku

V aktualizaci správce balíčků NPM 6.13.4, který je součástí distribuce Node.js a slouží k distribuci modulů v jazyce JavaScript, vyloučeno tři zranitelnosti (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), který umožňuje upravit nebo přepsat libovolné systémové soubory při instalaci balíčku připraveného útočníkem. Jako řešení ochrany jej můžete nainstalovat pomocí volby „-ignore-scripts“, která zakazuje spouštění balíčků vestavěných obslužných programů. Vývojáři NPM analyzovali balíčky dostupné v úložišti a nenašli žádné stopy po identifikovaných problémech používaných k provádění útoků.

CVE-2019-16777 projevuje se ve verzích před 6.13.4 a umožňuje přepsat systémové spustitelné soubory během globální instalace balíčků. Nahradit můžete pouze soubory v cílovém adresáři, kde jsou nainstalovány spustitelné soubory (obvykle /usr/local/bin).

CVE-2019-16775 и CVE-2019-16776 se objevují ve verzích před 6.13.3 a umožňují vám zapsat libovolný soubor vytvořením symbolického odkazu na soubory mimo adresář s moduly (node_modules) nebo manipulací s polem bin v package.json (cesty s „/../“ byly povoleno v poli popelnice).

Zdroj: opennet.ru