NPM:n haavoittuvuus, joka sallii mielivaltaisten tiedostojen muokkaamisen paketin asennuksen aikana

NPM 6.13.4 -paketinhallinnan päivityksessä, joka sisältyy Node.js-jakeluun ja jota käytetään moduulien jakeluun JavaScript-kielellä, eliminoitu kolme haavoittuvuutta (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), joka mahdollistaa mielivaltaisten järjestelmätiedostojen muokkaamisen tai korvaamisen, kun asennetaan hyökkääjän valmistama paketti. Suojauksen kiertotapana voit asentaa sen "-ignore-scripts" -vaihtoehdolla, joka estää sisäänrakennettujen käsittelijäpakettien suorittamisen. NPM-kehittäjät analysoivat arkistossa olevat paketit eivätkä löytäneet merkkejä tunnistetuista ongelmista, joita olisi käytetty hyökkäyksiin.

CVE-2019-16777 ilmenee versiota 6.13.4 edeltävissä julkaisuissa ja mahdollistaa järjestelmän suoritettavien tiedostojen korvaamisen yleisen paketin asennuksen aikana. Voit korvata tiedostoja vain siinä kohdehakemistossa, johon suoritettavat tiedostot on asennettu (yleensä /usr/local/bin).

CVE-2019-16775 и CVE-2019-16776 näkyvät versiota 6.13.3 edeltävissä julkaisuissa ja mahdollistavat mielivaltaisen tiedoston kirjoittamisen luomalla symbolisen linkin hakemiston ulkopuolisiin tiedostoihin moduuleilla (node_modules) tai käsittelemällä bin-kenttää package.jsonissa (polut "/../" olivat sallittu roskakorikentässä).

Lähde: opennet.ru