Varnarleysi í NPM sem gerir kleift að breyta handahófskenndum skrám við uppsetningu pakka

Í uppfærslu NPM 6.13.4 pakkastjórans, innifalinn í Node.js dreifingunni og notaður til að dreifa einingum á JavaScript tungumálinu, útrýmt þrír veikleikar (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), sem gerir kleift að breyta eða skrifa yfir handahófskenndar kerfisskrár þegar pakki er settur upp af árásarmanni. Sem lausn fyrir vernd geturðu sett það upp með "-ignore-scripts" valmöguleikanum, sem bannar að keyra innbyggða meðhöndlunarpakka. NPM forritarar greindu pakkana sem eru tiltækir í geymslunni og fundu engin ummerki um tilgreind vandamál sem voru notuð til að framkvæma árásir.

CVE-2019-16777 birtist í útgáfum á undan 6.13.4 og gerir þér kleift að skrifa yfir keyranlegar skrár á kerfi meðan á alþjóðlegri pakkauppsetningu stendur. Þú getur aðeins skipt út skrám í markmöppunni þar sem keyrsluskrárnar eru settar upp (venjulega /usr/local/bin).

CVE-2019-16775 и CVE-2019-16776 birtast í útgáfum fyrir 6.13.3 og leyfa þér að skrifa handahófskennda skrá með því að búa til táknrænan hlekk á skrár utan möppu með einingum (node_modules) eða með því að vinna með bin reitinn í package.json (slóðir með "/../" voru leyfilegt í ruslakörfunni).

Heimild: opennet.ru