ProHoster > blog > berita internet > Kerentanan dalam NPM yang memungkinkan file sewenang-wenang diubah selama instalasi paket
Kerentanan dalam NPM yang memungkinkan file sewenang-wenang diubah selama instalasi paket
Dalam pembaruan manajer paket NPM 6.13.4, termasuk dalam distribusi Node.js dan digunakan untuk mendistribusikan modul dalam bahasa JavaScript, tiga kerentanan (, ΠΈ ), yang memungkinkan file sistem sewenang-wenang dimodifikasi atau ditimpa saat menginstal paket yang disiapkan oleh penyerang. Sebagai solusi perlindungan, Anda dapat menginstalnya dengan opsi β-ignore-scriptsβ, yang melarang eksekusi paket handler bawaan. Pengembang NPM menganalisis paket yang tersedia di repositori dan tidak menemukan jejak masalah yang teridentifikasi yang digunakan untuk melakukan serangan.
CVE-2019-16777 dalam rilis sebelum 6.13.4 dan memungkinkan Anda untuk menimpa file sistem yang dapat dieksekusi selama instalasi paket global. Anda hanya dapat mengganti file di direktori target tempat file yang dapat dieksekusi diinstal (biasanya /usr/local/bin).
ΠΈ muncul di rilis sebelum 6.13.3 dan memungkinkan Anda menulis file arbitrer dengan membuat tautan simbolis ke file di luar direktori dengan modul (node_modules) atau dengan memanipulasi bidang bin di package.json (jalur dengan β/../β adalah diperbolehkan di bidang bin).
