NPM માં નબળાઈ કે જે પેકેજ ઇન્સ્ટોલેશન દરમિયાન મનસ્વી ફાઇલોને સંશોધિત કરવાની મંજૂરી આપે છે

NPM 6.13.4 પેકેજ મેનેજરના અપડેટમાં, Node.js વિતરણમાં સમાવિષ્ટ છે અને JavaScript ભાષામાં મોડ્યુલોને વિતરિત કરવા માટે વપરાય છે, નાબૂદ ત્રણ નબળાઈઓ (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), જે હુમલાખોર દ્વારા તૈયાર કરાયેલ પેકેજ ઇન્સ્ટોલ કરતી વખતે મનસ્વી સિસ્ટમ ફાઇલોને સંશોધિત અથવા ઓવરરાઇટ કરવાની મંજૂરી આપે છે. સુરક્ષા માટેના ઉકેલ તરીકે, તમે તેને "-ignore-scripts" વિકલ્પ સાથે ઇન્સ્ટોલ કરી શકો છો, જે બિલ્ટ-ઇન હેન્ડલર પેકેજોના અમલને પ્રતિબંધિત કરે છે. NPM ડેવલપર્સે રિપોઝીટરીમાં ઉપલબ્ધ પેકેજોનું પૃથ્થકરણ કર્યું અને હુમલાઓ કરવા માટે ઉપયોગમાં લેવાતી ઓળખાયેલી સમસ્યાઓના કોઈ નિશાન મળ્યાં નથી.

CVE-2019-16777 દેખાય છે 6.13.4 પહેલાના પ્રકાશનમાં અને તમને વૈશ્વિક પેકેજ સ્થાપન દરમ્યાન સિસ્ટમ એક્ઝેક્યુટેબલ ફાઈલો પર ફરીથી લખવા માટે પરવાનગી આપે છે. તમે માત્ર લક્ષ્ય નિર્દેશિકામાં ફાઇલોને બદલી શકો છો જ્યાં એક્ઝિક્યુટેબલ ફાઇલો ઇન્સ્ટોલ કરેલ હોય (સામાન્ય રીતે /usr/local/bin).

CVE-2019-16775 и CVE-2019-16776 6.13.3 પહેલાના પ્રકાશનોમાં દેખાય છે અને તમને મોડ્યુલ્સ (નોડ_મોડ્યુલ્સ) સાથે ડાયરેક્ટરી બહારની ફાઈલોની સાંકેતિક લિંક બનાવીને અથવા package.json (“/../” વાળા પાથમાં બિન ફીલ્ડની હેરફેર કરીને મનસ્વી ફાઈલ લખવાની મંજૂરી આપે છે. બિન ફીલ્ડમાં મંજૂરી છે).

સોર્સ: opennet.ru