Kwetsberens yn NPM wêrtroch willekeurige bestannen kinne wurde wizige tidens pakket ynstallaasje

Yn 'e fernijing fan' e NPM 6.13.4-pakketbehearder, opnommen yn 'e Node.js-distribúsje en brûkt om modules yn' e JavaScript-taal te fersprieden, eliminearre trije kwetsberens (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), wêrtroch willekeurige systeembestannen kinne wurde wizige of oerskreaun by it ynstallearjen fan in pakket dat taret is troch in oanfaller. As in oplossing foar beskerming kinne jo it ynstallearje mei de opsje "-ignore-scripts", dy't de útfiering fan ynboude handlerpakketten ferbiedt. NPM-ûntwikkelders analysearren de pakketten beskikber yn it repository en fûnen gjin spoaren fan 'e identifisearre problemen dy't brûkt wurde om oanfallen út te fieren.

CVE-2019-16777 ferskynt yn releases foarôfgeand oan 6.13.4 en kinne jo systeem útfierbere triemmen oerskriuwe tidens globale pakket ynstallaasje. Jo kinne allinich triemmen ferfange yn 'e doelmap wêr't de útfierbere triemmen ynstalleare binne (meastentiids /usr/local/bin).

CVE-2019-16775 и CVE-2019-16776 ferskine yn releases foar 6.13.3 en kinne jo in willekeurige triem skriuwe troch in symboalyske keppeling te meitsjen nei bestannen bûten de map mei modules (node_modules) of troch it binfjild te manipulearjen yn package.json (paden mei "/../" wiene tastien yn it binfjild).

Boarne: opennet.ru