ಪ್ಯಾಕೇಜ್ ಅನುಸ್ಥಾಪನೆಯ ಸಮಯದಲ್ಲಿ ಅನಿಯಂತ್ರಿತ ಫೈಲ್‌ಗಳನ್ನು ಮಾರ್ಪಡಿಸಲು ಅನುಮತಿಸುವ NPM ನಲ್ಲಿನ ದುರ್ಬಲತೆ

NPM 6.13.4 ಪ್ಯಾಕೇಜ್ ಮ್ಯಾನೇಜರ್‌ನ ನವೀಕರಣದಲ್ಲಿ, Node.js ವಿತರಣೆಯಲ್ಲಿ ಸೇರಿಸಲಾಗಿದೆ ಮತ್ತು JavaScript ಭಾಷೆಯಲ್ಲಿ ಮಾಡ್ಯೂಲ್‌ಗಳನ್ನು ವಿತರಿಸಲು ಬಳಸಲಾಗುತ್ತದೆ, ನಿವಾರಿಸಲಾಗಿದೆ ಮೂರು ದುರ್ಬಲತೆಗಳು (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), ಇದು ಆಕ್ರಮಣಕಾರರಿಂದ ಸಿದ್ಧಪಡಿಸಲಾದ ಪ್ಯಾಕೇಜ್ ಅನ್ನು ಸ್ಥಾಪಿಸುವಾಗ ಅನಿಯಂತ್ರಿತ ಸಿಸ್ಟಮ್ ಫೈಲ್‌ಗಳನ್ನು ಮಾರ್ಪಡಿಸಲು ಅಥವಾ ತಿದ್ದಿ ಬರೆಯಲು ಅನುಮತಿಸುತ್ತದೆ. ರಕ್ಷಣೆಗಾಗಿ ಪರಿಹಾರವಾಗಿ, ನೀವು ಅದನ್ನು "-ignore-scripts" ಆಯ್ಕೆಯೊಂದಿಗೆ ಸ್ಥಾಪಿಸಬಹುದು, ಇದು ಅಂತರ್ನಿರ್ಮಿತ ಹ್ಯಾಂಡ್ಲರ್ ಪ್ಯಾಕೇಜುಗಳ ಕಾರ್ಯಗತಗೊಳಿಸುವಿಕೆಯನ್ನು ನಿಷೇಧಿಸುತ್ತದೆ. NPM ಡೆವಲಪರ್‌ಗಳು ರೆಪೊಸಿಟರಿಯಲ್ಲಿ ಲಭ್ಯವಿರುವ ಪ್ಯಾಕೇಜುಗಳನ್ನು ವಿಶ್ಲೇಷಿಸಿದ್ದಾರೆ ಮತ್ತು ದಾಳಿಗಳನ್ನು ನಡೆಸಲು ಬಳಸಲಾಗುತ್ತಿರುವ ಗುರುತಿಸಲಾದ ಸಮಸ್ಯೆಗಳ ಯಾವುದೇ ಕುರುಹುಗಳು ಕಂಡುಬಂದಿಲ್ಲ.

CVE-2019-16777 ಪ್ರಾಯೋಗಿಕ 6.13.4 ರ ಮುಂಚಿನ ಬಿಡುಗಡೆಗಳಲ್ಲಿ ಮತ್ತು ಜಾಗತಿಕ ಪ್ಯಾಕೇಜ್ ಸ್ಥಾಪನೆಯ ಸಮಯದಲ್ಲಿ ಸಿಸ್ಟಮ್ ಎಕ್ಸಿಕ್ಯೂಟಬಲ್ ಫೈಲ್‌ಗಳನ್ನು ಓವರ್‌ರೈಟ್ ಮಾಡಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್‌ಗಳನ್ನು ಸ್ಥಾಪಿಸಲಾದ ಗುರಿ ಡೈರೆಕ್ಟರಿಯಲ್ಲಿ ಮಾತ್ರ ನೀವು ಫೈಲ್‌ಗಳನ್ನು ಬದಲಾಯಿಸಬಹುದು (ಸಾಮಾನ್ಯವಾಗಿ /usr/local/bin).

CVE-2019-16775 и CVE-2019-16776 6.13.3 ರ ಮೊದಲು ಬಿಡುಗಡೆಗಳಲ್ಲಿ ಕಾಣಿಸಿಕೊಳ್ಳುತ್ತದೆ ಮತ್ತು ಡೈರೆಕ್ಟರಿಯ ಹೊರಗಿನ ಫೈಲ್‌ಗಳಿಗೆ ಮಾಡ್ಯೂಲ್‌ಗಳೊಂದಿಗೆ (node_modules) ಸಾಂಕೇತಿಕ ಲಿಂಕ್ ಅನ್ನು ರಚಿಸುವ ಮೂಲಕ ಅಥವಾ ಪ್ಯಾಕೇಜ್.json ನಲ್ಲಿ ಬಿನ್ ಕ್ಷೇತ್ರವನ್ನು ಕುಶಲತೆಯಿಂದ ನಿರ್ವಹಿಸುವ ಮೂಲಕ ಅನಿಯಂತ್ರಿತ ಫೈಲ್ ಅನ್ನು ಬರೆಯಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ (“/../” ನೊಂದಿಗೆ ಮಾರ್ಗಗಳು ಬಿನ್ ಕ್ಷೇತ್ರದಲ್ಲಿ ಅನುಮತಿಸಲಾಗಿದೆ) .

ಮೂಲ: opennet.ru