Vulnérabilité dans NPM qui permet de modifier des fichiers arbitraires lors de l'installation du package

Dans la mise à jour du gestionnaire de packages NPM 6.13.4, inclus dans la distribution Node.js et utilisé pour distribuer des modules en langage JavaScript, éliminé trois vulnérabilités (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), qui permet de modifier ou d'écraser des fichiers système arbitraires lors de l'installation d'un package préparé par un attaquant. Comme solution de contournement pour la protection, vous pouvez l'installer avec l'option « -ignore-scripts », qui interdit l'exécution des packages de gestionnaires intégrés. Les développeurs de NPM ont analysé les packages disponibles dans le référentiel et n'ont trouvé aucune trace des problèmes identifiés utilisés pour mener des attaques.

CVE-2019-16777 apparaît dans les versions antérieures à 6.13.4 et vous permet d'écraser les fichiers exécutables du système lors de l'installation globale du package. Vous pouvez uniquement remplacer les fichiers dans le répertoire cible où les fichiers exécutables sont installés (généralement /usr/local/bin).

CVE-2019-16775 и CVE-2019-16776 apparaissent dans les versions antérieures à 6.13.3 et vous permettent d'écrire un fichier arbitraire en créant un lien symbolique vers des fichiers en dehors du répertoire avec des modules (node_modules) ou en manipulant le champ bin dans package.json (les chemins avec « /../ » étaient autorisé dans le champ bin) .

Source: opennet.ru