Vundebleco en NPM kiu permesas al arbitraj dosieroj esti modifitaj dum pakinstalado

En la ĝisdatigo de la pakaĵmanaĝero de NPM 6.13.4, inkluzivita en la distribuo Node.js kaj uzata por distribui modulojn en la JavaScript lingvo, eliminita tri vundeblecoj (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), kiu permesas al arbitraj sistemdosieroj esti modifitaj aŭ anstataŭitaj kiam oni instalas pakaĵon preparitan de atakanto. Kiel solvo por protekto, vi povas instali ĝin per la opcio "-ignore-scripts", kiu malpermesas la ekzekuton de enkonstruitaj pritraktilpakaĵoj. NPM-programistoj analizis la disponeblajn pakaĵojn en la deponejo kaj trovis neniujn spurojn de la identigitaj problemoj uzataj por fari atakojn.

CVE-2019-16777 aperas en eldonoj antaŭ 6.13.4 kaj permesas vin anstataŭigi sistemajn ruleblajn dosierojn dum tutmonda pakinstalaĵo. Vi povas nur anstataŭigi dosierojn en la cela dosierujo kie la ruleblaj dosieroj estas instalitaj (kutime /usr/local/bin).

CVE-2019-16775 и CVE-2019-16776 aperas en eldonoj antaŭ 6.13.3 kaj permesas vin skribi arbitran dosieron kreante simbolan ligon al dosieroj ekster la dosierujo kun moduloj (node_modules) aŭ manipulante la bin-kampon en package.json (vojoj kun "/../" estis permesite en la rubujo kampo).

fonto: opennet.ru