פגיעות ב-NPM המאפשרת לשנות קבצים שרירותיים במהלך התקנת החבילה

בעדכון של מנהל החבילות NPM 6.13.4, הנכלל בהפצת Node.js ומשמש להפצת מודולים בשפת JavaScript, חוסלו שלוש נקודות תורפה (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), המאפשר לשנות או לדרוס קבצי מערכת שרירותיים בעת התקנת חבילה שהוכנה על ידי תוקף. כפתרון עוקף להגנה, אתה יכול להתקין אותו עם אפשרות "-ignore-scripts", האוסרת על ביצוע חבילות מטפל מובנות. מפתחי NPM ניתחו את החבילות הזמינות במאגר ולא מצאו עקבות לבעיות שזוהו בשימוש לביצוע התקפות.

CVE-2019-16777 מופיע במהדורות לפני 6.13.4 ומאפשרת לך להחליף קבצי הפעלה של המערכת במהלך התקנת חבילה גלובלית. אתה יכול להחליף קבצים רק בספריית היעד שבה מותקנים קבצי ההפעלה (בדרך כלל /usr/local/bin).

CVE-2019-16775 и CVE-2019-16776 מופיעים במהדורות לפני 6.13.3 ומאפשרים לך לכתוב קובץ שרירותי על ידי יצירת קישור סמלי לקבצים מחוץ לספרייה עם מודולים (node_modules) או על ידי מניפולציה של שדה ה-bin ב-package.json (נתיבים עם "/../" היו מותר בשדה הפח).

מקור: OpenNet.ru