Ευπάθεια στο NPM που επιτρέπει την τροποποίηση αυθαίρετων αρχείων κατά την εγκατάσταση του πακέτου

Στην ενημέρωση του διαχειριστή πακέτων NPM 6.13.4, που περιλαμβάνεται στη διανομή Node.js και χρησιμοποιείται για τη διανομή λειτουργικών μονάδων στη γλώσσα JavaScript, εξαλειφθεί τρία τρωτά σημεία (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), το οποίο επιτρέπει την τροποποίηση ή την αντικατάσταση αυθαίρετων αρχείων συστήματος κατά την εγκατάσταση ενός πακέτου που έχει προετοιμαστεί από έναν εισβολέα. Ως λύση προστασίας, μπορείτε να το εγκαταστήσετε με την επιλογή "-ignore-scripts", η οποία απαγορεύει την εκτέλεση των ενσωματωμένων πακέτων χειριστή. Οι προγραμματιστές του NPM ανέλυσαν τα πακέτα που ήταν διαθέσιμα στο αποθετήριο και δεν βρήκαν ίχνη των εντοπισμένων προβλημάτων που χρησιμοποιούνται για την πραγματοποίηση επιθέσεων.

CVE-2019-16777 εκδηλώνεται σε εκδόσεις πριν από την 6.13.4 και σας επιτρέπει να αντικαταστήσετε τα εκτελέσιμα αρχεία συστήματος κατά την καθολική εγκατάσταση του πακέτου. Μπορείτε να αντικαταστήσετε μόνο αρχεία στον κατάλογο προορισμού όπου είναι εγκατεστημένα τα εκτελέσιμα αρχεία (συνήθως /usr/local/bin).

CVE-2019-16775 и CVE-2019-16776 εμφανίζονται σε εκδόσεις πριν από την 6.13.3 και σας επιτρέπουν να γράψετε ένα αυθαίρετο αρχείο δημιουργώντας έναν συμβολικό σύνδεσμο προς αρχεία εκτός του καταλόγου με ενότητες (node_modules) ή χειρίζοντας το πεδίο bin στο package.json (οι διαδρομές με "/../" ήταν επιτρέπεται στο πεδίο του κάδου).

Πηγή: opennet.ru