Vilnerabilite nan NPM ki pèmèt dosye abitrè yo dwe modifye pandan enstalasyon pake a

Nan aktyalizasyon manadjè pake NPM 6.13.4, ki enkli nan distribisyon Node.js e ki itilize pou distribye modil nan lang JavaScript, elimine twa vilnerabilite (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), ki pèmèt dosye sistèm abitrè yo dwe modifye oswa ranplase lè w ap enstale yon pake ki prepare pa yon atakè. Kòm yon solisyon pou pwoteksyon, ou ka enstale li ak opsyon "-ignore-scripts" la, ki entèdi ekzekisyon pakè moun kap okipe yo. Devlopè NPM yo te analize pakè ki disponib nan depo a epi yo pa jwenn okenn tras pwoblèm yo idantifye yo te itilize pou fè atak.

CVE-2019-16777 parèt nan degaje anvan 6.13.4 epi li pèmèt ou ranplase dosye ègzèkutabl sistèm yo pandan enstalasyon pake mondyal la. Ou ka sèlman ranplase fichye ki nan anyè sib kote yo enstale dosye ègzèkutabl yo (anjeneral /usr/local/bin).

CVE-2019-16775 и CVE-2019-16776 parèt nan degaje anvan 6.13.3 epi pèmèt ou ekri yon fichye abitrè pa kreye yon lyen senbolik nan fichye deyò anyè a ak modil (node_modules) oswa lè w manipile jaden bin nan package.json (chemen ak "/../" yo te). pèmèt nan jaden bin la).

Sous: opennet.ru