Leochaileacht in NPM a cheadaíonn comhaid treallach a mhodhnú le linn suiteáil pacáiste

I nuashonrú an bhainisteora pacáiste NPM 6.13.4, atá san áireamh i ndáileadh Node.js agus a úsáidtear chun modúil a dháileadh sa teanga JavaScript, deireadh trí leochaileacht (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), a cheadaíonn comhaid chórais treallach a mhodhnú nó a fhorscríobh nuair a bhíonn pacáiste ullmhaithe ag ionsaitheoir á shuiteáil. Mar réiteach oibre le haghaidh cosanta, is féidir leat é a shuiteáil leis an rogha “-ignore-scripts”, a chuireann cosc ​​ar phacáistí láimhseála ionsuite a chur i gcrích. Rinne forbróirí NPM anailís ar na pacáistí atá ar fáil sa stór agus níor aimsíodh aon rian de na fadhbanna aitheanta a bhí á n-úsáid chun ionsaithe a dhéanamh.

CVE-2019-16777 le feiceáil in eisiúintí roimh 6.13.4 agus ligeann sé duit comhaid inrite córais a fhorscríobh le linn suiteáil pacáiste domhanda. Ní féidir leat ach comhaid a athsholáthar sa sprioc-eolaire ina bhfuil na comhaid inrite suiteáilte (/usr/local/bin de ghnáth).

CVE-2019-16775 и CVE-2019-16776 le feiceáil in eisiúintí roimh 6.13.3 agus ceadaíonn sé duit comhad treallach a scríobh trí nasc siombalach a chruthú chuig comhaid lasmuigh den eolaire le modúil (node_modules) nó trí réimse an bhosca bruscair i package.json a ionramháil (beidh cosáin le “/../” ceadaithe sa réimse bruscair).

Foinse: oscailtenet.ru