ಪ್ರೊಹೋಸ್ಟರ್ > Блог > ಇಂಟರ್ನೆಟ್ ಸುದ್ದಿ > ಪ್ಯಾಕೇಜ್ ಅನುಸ್ಥಾಪನೆಯ ಸಮಯದಲ್ಲಿ ಅನಿಯಂತ್ರಿತ ಫೈಲ್ಗಳನ್ನು ಮಾರ್ಪಡಿಸಲು ಅನುಮತಿಸುವ NPM ನಲ್ಲಿನ ದುರ್ಬಲತೆ
ಪ್ಯಾಕೇಜ್ ಅನುಸ್ಥಾಪನೆಯ ಸಮಯದಲ್ಲಿ ಅನಿಯಂತ್ರಿತ ಫೈಲ್ಗಳನ್ನು ಮಾರ್ಪಡಿಸಲು ಅನುಮತಿಸುವ NPM ನಲ್ಲಿನ ದುರ್ಬಲತೆ
NPM 6.13.4 ಪ್ಯಾಕೇಜ್ ಮ್ಯಾನೇಜರ್ನ ನವೀಕರಣದಲ್ಲಿ, Node.js ವಿತರಣೆಯಲ್ಲಿ ಸೇರಿಸಲಾಗಿದೆ ಮತ್ತು JavaScript ಭಾಷೆಯಲ್ಲಿ ಮಾಡ್ಯೂಲ್ಗಳನ್ನು ವಿತರಿಸಲು ಬಳಸಲಾಗುತ್ತದೆ, ನಿವಾರಿಸಲಾಗಿದೆ ಮೂರು ದುರ್ಬಲತೆಗಳು (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), ಇದು ಆಕ್ರಮಣಕಾರರಿಂದ ಸಿದ್ಧಪಡಿಸಲಾದ ಪ್ಯಾಕೇಜ್ ಅನ್ನು ಸ್ಥಾಪಿಸುವಾಗ ಅನಿಯಂತ್ರಿತ ಸಿಸ್ಟಮ್ ಫೈಲ್ಗಳನ್ನು ಮಾರ್ಪಡಿಸಲು ಅಥವಾ ತಿದ್ದಿ ಬರೆಯಲು ಅನುಮತಿಸುತ್ತದೆ. ರಕ್ಷಣೆಗಾಗಿ ಪರಿಹಾರವಾಗಿ, ನೀವು ಅದನ್ನು "-ignore-scripts" ಆಯ್ಕೆಯೊಂದಿಗೆ ಸ್ಥಾಪಿಸಬಹುದು, ಇದು ಅಂತರ್ನಿರ್ಮಿತ ಹ್ಯಾಂಡ್ಲರ್ ಪ್ಯಾಕೇಜುಗಳ ಕಾರ್ಯಗತಗೊಳಿಸುವಿಕೆಯನ್ನು ನಿಷೇಧಿಸುತ್ತದೆ. NPM ಡೆವಲಪರ್ಗಳು ರೆಪೊಸಿಟರಿಯಲ್ಲಿ ಲಭ್ಯವಿರುವ ಪ್ಯಾಕೇಜುಗಳನ್ನು ವಿಶ್ಲೇಷಿಸಿದ್ದಾರೆ ಮತ್ತು ದಾಳಿಗಳನ್ನು ನಡೆಸಲು ಬಳಸಲಾಗುತ್ತಿರುವ ಗುರುತಿಸಲಾದ ಸಮಸ್ಯೆಗಳ ಯಾವುದೇ ಕುರುಹುಗಳು ಕಂಡುಬಂದಿಲ್ಲ.
CVE-2019-16777 ಪ್ರಾಯೋಗಿಕ 6.13.4 ರ ಮುಂಚಿನ ಬಿಡುಗಡೆಗಳಲ್ಲಿ ಮತ್ತು ಜಾಗತಿಕ ಪ್ಯಾಕೇಜ್ ಸ್ಥಾಪನೆಯ ಸಮಯದಲ್ಲಿ ಸಿಸ್ಟಮ್ ಎಕ್ಸಿಕ್ಯೂಟಬಲ್ ಫೈಲ್ಗಳನ್ನು ಓವರ್ರೈಟ್ ಮಾಡಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್ಗಳನ್ನು ಸ್ಥಾಪಿಸಲಾದ ಗುರಿ ಡೈರೆಕ್ಟರಿಯಲ್ಲಿ ಮಾತ್ರ ನೀವು ಫೈಲ್ಗಳನ್ನು ಬದಲಾಯಿಸಬಹುದು (ಸಾಮಾನ್ಯವಾಗಿ /usr/local/bin).
CVE-2019-16775 и CVE-2019-16776 6.13.3 ರ ಮೊದಲು ಬಿಡುಗಡೆಗಳಲ್ಲಿ ಕಾಣಿಸಿಕೊಳ್ಳುತ್ತದೆ ಮತ್ತು ಡೈರೆಕ್ಟರಿಯ ಹೊರಗಿನ ಫೈಲ್ಗಳಿಗೆ ಮಾಡ್ಯೂಲ್ಗಳೊಂದಿಗೆ (node_modules) ಸಾಂಕೇತಿಕ ಲಿಂಕ್ ಅನ್ನು ರಚಿಸುವ ಮೂಲಕ ಅಥವಾ ಪ್ಯಾಕೇಜ್.json ನಲ್ಲಿ ಬಿನ್ ಕ್ಷೇತ್ರವನ್ನು ಕುಶಲತೆಯಿಂದ ನಿರ್ವಹಿಸುವ ಮೂಲಕ ಅನಿಯಂತ್ರಿತ ಫೈಲ್ ಅನ್ನು ಬರೆಯಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ (“/../” ನೊಂದಿಗೆ ಮಾರ್ಗಗಳು ಬಿನ್ ಕ್ಷೇತ್ರದಲ್ಲಿ ಅನುಮತಿಸಲಾಗಿದೆ) .