ProHoster > Blog > internetes hírek > Az NPM biztonsági rése, amely lehetővé teszi tetszőleges fájlok módosítását a csomagtelepítés során
Az NPM biztonsági rése, amely lehetővé teszi tetszőleges fájlok módosítását a csomagtelepítés során
Az NPM 6.13.4 csomagkezelő frissítésében, amely a Node.js disztribúcióban található, és a JavaScript nyelvű modulok terjesztésére szolgál, három sebezhetőség (, и ), amely lehetővé teszi tetszőleges rendszerfájlok módosítását vagy felülírását egy támadó által készített csomag telepítésekor. A védelem elkerülő megoldásaként telepítheti a „-ignore-scripts” opcióval, amely tiltja a beépített kezelőcsomagok végrehajtását. Az NPM fejlesztői elemezték a lerakatban elérhető csomagokat, és nem találták nyomát annak, hogy az azonosított problémákat támadások végrehajtására használták volna.
CVE-2019 16777- a 6.13.4 előtti kiadásokban, és lehetővé teszi a rendszer futtatható fájlok felülírását a globális csomagtelepítés során. Csak abban a célkönyvtárban cserélhet le fájlokat, ahol a végrehajtható fájlok telepítve vannak (általában /usr/local/bin).
и megjelennek a 6.13.3 előtti kiadásokban, és lehetővé teszik tetszőleges fájl írását úgy, hogy szimbolikus hivatkozást hoz létre a modulokat tartalmazó könyvtáron kívüli fájlokhoz (node_modules), vagy a bin mező manipulálásával a package.json fájlban (az elérési utak „/../” voltak engedélyezett a szemetes mezőben) .
