Sårbarhed i NPM, der gør det muligt at ændre vilkårlige filer under pakkeinstallation

I opdateringen af ​​NPM 6.13.4-pakkehåndteringen, inkluderet i Node.js-distributionen og brugt til at distribuere moduler i JavaScript-sproget, elimineret tre sårbarheder (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), som gør det muligt at ændre eller overskrive vilkårlige systemfiler, når du installerer en pakke, der er udarbejdet af en angriber. Som en løsning til beskyttelse kan du installere det med "-ignore-scripts", som forbyder udførelse af indbyggede handlerpakker. NPM-udviklere analyserede de tilgængelige pakker i depotet og fandt ingen spor af de identificerede problemer, der blev brugt til at udføre angreb.

CVE-2019-16777 kommer til syne i udgivelser før 6.13.4 og giver dig mulighed for at overskrive systemeksekverbare filer under global pakkeinstallation. Du kan kun erstatte filer i målbiblioteket, hvor de eksekverbare filer er installeret (normalt /usr/local/bin).

CVE-2019-16775 и CVE-2019-16776 vises i udgivelser før 6.13.3 og giver dig mulighed for at skrive en vilkårlig fil ved at oprette et symbolsk link til filer uden for mappen med moduler (node_modules) eller ved at manipulere bin-feltet i package.json (stier med "/../" var tilladt i skraldespanden).

Kilde: opennet.ru