Ranjivost u NPM-u koja omogućuje izmjenu proizvoljnih datoteka tijekom instalacije paketa

U ažuriranju upravitelja paketa NPM 6.13.4, uključenog u distribuciju Node.js i koji se koristi za distribuciju modula u jeziku JavaScript, eliminiran tri ranjivosti (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), koji omogućuje izmjenu ili prebrisanje proizvoljnih sistemskih datoteka prilikom instaliranja paketa koji je pripremio napadač. Kao zaobilazno rješenje za zaštitu, možete ga instalirati s opcijom "-ignore-scripts", koja zabranjuje izvršavanje ugrađenih paketa rukovatelja. Programeri NPM-a analizirali su pakete dostupne u repozitoriju i nisu pronašli tragove identificiranih problema koji se koriste za izvođenje napada.

CVE-2019-16777 pojavljuje se u izdanjima prije 6.13.4 i omogućuje vam brisanje izvršnih datoteka sustava tijekom globalne instalacije paketa. Možete samo zamijeniti datoteke u ciljnom direktoriju gdje su instalirane izvršne datoteke (obično /usr/local/bin).

CVE-2019-16775 и CVE-2019-16776 pojavljuju se u izdanjima prije 6.13.3 i omogućuju vam da napišete proizvoljnu datoteku stvaranjem simboličke veze na datoteke izvan direktorija s modulima (node_modules) ili manipuliranjem polja bin u package.json (staze s “/../” bile su dozvoljeno u polju bin) .

Izvor: opennet.ru