So-leòntachd ann an NPM a leigeas le faidhlichean neo-riaghailteach atharrachadh rè stàladh pacaid

Anns an ùrachadh air manaidsear pacaid NPM 6.13.4, air a ghabhail a-steach ann an cuairteachadh Node.js agus air a chleachdadh gus modalan a sgaoileadh sa chànan JavaScript, air a chuir às trì so-leòntachd (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), a leigeas le faidhlichean siostam neo-riaghailteach atharrachadh no ath-sgrìobhadh nuair a bhios iad a’ stàladh pasgan a dheasaich neach-ionnsaigh. Mar fhuasgladh dìon, faodaidh tu a stàladh leis an roghainn “-ignore-scripts”, a tha a’ toirmeasg pacaidean làimhseachaidh togte a chuir gu bàs. Rinn luchd-leasachaidh NPM mion-sgrùdadh air na pacaidean a bha rim faighinn san stòr agus cha do lorg iad lorg sam bith air na duilgheadasan comharraichte a thathas a’ cleachdadh airson ionnsaighean a dhèanamh.

CVE-2019-16777 ga nochdadh fhèin ann am fiosan ro 6.13.4 agus leigidh e leat ath-sgrìobhadh a dhèanamh air faidhlichean so-ghnìomhaichte siostam rè stàladh pacaid cruinne. Chan urrainn dhut ach faidhlichean a chuir an àite san eòlaire targaid far a bheil na faidhlichean so-ghnìomhaichte air an stàladh (mar as trice / usr / local / bin).

CVE-2019-16775 и CVE-2019-16776 nochdadh ann am fiosan ro 6.13.3 agus a’ leigeil leat faidhle neo-riaghailteach a sgrìobhadh le bhith a’ cruthachadh ceangal samhlachail ri faidhlichean taobh a-muigh an eòlaire le modalan (node_modules) no le bhith a’ làimhseachadh raon a’ bhiona ann am package.json (shlighe le “/../” ceadaichte anns an raon biona).

Source: fosgailtenet.ru