Sicherheitslücke in NPM, die die Änderung beliebiger Dateien während der Paketinstallation ermöglicht

Im Update des NPM 6.13.4-Paketmanagers, der in der Node.js-Distribution enthalten ist und zum Verteilen von Modulen in der JavaScript-Sprache verwendet wird, eliminiert drei Schwachstellen (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), mit dem bei der Installation eines von einem Angreifer vorbereiteten Pakets beliebige Systemdateien geändert oder überschrieben werden können. Um diesen Schutz zu umgehen, können Sie es mit der Option „-ignore-scripts“ installieren, die die Ausführung integrierter Handler-Pakete verhindert. NPM-Entwickler analysierten die im Repository verfügbaren Pakete und fanden keine Hinweise darauf, dass die identifizierten Probleme zur Durchführung von Angriffen genutzt wurden.

CVE-2019-16777 ist manifestiert in Versionen vor 6.13.4 und ermöglicht es Ihnen, ausführbare Systemdateien während der globalen Paketinstallation zu überschreiben. Sie können Dateien nur im Zielverzeichnis ersetzen, in dem die ausführbaren Dateien installiert sind (normalerweise /usr/local/bin).

CVE-2019-16775 и CVE-2019-16776 erscheinen in Versionen vor 6.13.3 und ermöglichen es Ihnen, eine beliebige Datei zu schreiben, indem Sie einen symbolischen Link zu Dateien außerhalb des Verzeichnisses mit Modulen (node_modules) erstellen oder das bin-Feld in package.json manipulieren (Pfade mit „/../“ waren im Bin-Feld erlaubt).

Source: opennet.ru