ProHoster > وبلاگ > اخبار اینترنتی > آسیبپذیری در NPM که اجازه میدهد فایلهای دلخواه در حین نصب بسته اصلاح شوند
آسیبپذیری در NPM که اجازه میدهد فایلهای دلخواه در حین نصب بسته اصلاح شوند
در به روز رسانی مدیریت بسته NPM 6.13.4 که در توزیع Node.js گنجانده شده و برای توزیع ماژول ها به زبان جاوا اسکریپت استفاده می شود، حذف شده است سه آسیب پذیری (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777) که به فایل های سیستم دلخواه اجازه می دهد هنگام نصب بسته ای که توسط مهاجم تهیه شده است، تغییر یا بازنویسی شوند. به عنوان یک راه حل برای محافظت، می توانید آن را با گزینه "-ignore-scripts" نصب کنید، که اجرای بسته های هندلر داخلی را ممنوع می کند. توسعه دهندگان NPM بسته های موجود در مخزن را تجزیه و تحلیل کردند و هیچ اثری از مشکلات شناسایی شده که برای انجام حملات مورد استفاده قرار می گیرند، پیدا نکردند.
CVE-2019-16777 ظاهر شد در نسخه های قبل از 6.13.4 و به شما امکان می دهد فایل های اجرایی سیستم را در حین نصب بسته جهانی بازنویسی کنید. شما فقط می توانید فایل ها را در دایرکتوری هدف که در آن فایل های اجرایی نصب شده اند جایگزین کنید (معمولا /usr/local/bin).
CVE-2019-16775 и CVE-2019-16776 در نسخههای قبل از 6.13.3 ظاهر میشود و به شما امکان میدهد با ایجاد یک پیوند نمادین به فایلهای خارج از فهرست با ماژولها (node_modules) یا با دستکاری فیلد bin در package.json یک فایل دلخواه بنویسید (مسیرهایی با "/../" در قسمت bin مجاز است).