Bregusrwydd mewn NPM sy'n caniatáu i ffeiliau mympwyol gael eu haddasu yn ystod gosod pecynnau

Yn y diweddariad o reolwr pecyn NPM 6.13.4, sydd wedi'i gynnwys yn y dosbarthiad Node.js ac a ddefnyddir i ddosbarthu modiwlau yn yr iaith JavaScript, dileu tri bregusrwydd (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), sy'n caniatáu i ffeiliau system mympwyol gael eu haddasu neu eu trosysgrifo wrth osod pecyn a baratowyd gan ymosodwr. Fel ateb i'r amddiffyniad, gallwch ei osod gyda'r opsiwn “-ignore-scripts”, sy'n gwahardd gweithredu pecynnau trinwyr adeiledig. Dadansoddodd datblygwyr yr NPM y pecynnau oedd ar gael yn y gadwrfa ac ni chanfuwyd unrhyw olion o'r problemau a nodwyd yn cael eu defnyddio i gyflawni ymosodiadau.

CVE-2019-16777 yn ymddangos mewn datganiadau cyn 6.13.4 ac yn eich galluogi i drosysgrifo ffeiliau gweithredadwy system yn ystod gosod pecynnau byd-eang. Dim ond lle mae'r ffeiliau gweithredadwy wedi'u gosod (fel arfer / usr / local / bin) y gallwch chi amnewid ffeiliau yn y cyfeiriadur targed.

CVE-2019-16775 и CVE-2019-16776 ymddangos mewn datganiadau cyn 6.13.3 a chaniatáu i chi ysgrifennu ffeil mympwyol trwy greu dolen symbolaidd i ffeiliau y tu allan i'r cyfeiriadur gyda modiwlau (node_modules) neu drwy drin y maes bin yn package.json (llwybrau gyda “/../” oedd a ganiateir yn y maes bin).

Ffynhonnell: opennet.ru