Node.js ๋ฐฐํฌํ์ ํฌํจ๋์ด JavaScript ์ธ์ด๋ก ๋ชจ๋์ ๋ฐฐํฌํ๋ ๋ฐ ์ฌ์ฉ๋๋ NPM 6.13.4 ํจํค์ง ๊ด๋ฆฌ์ ์
๋ฐ์ดํธ์์, ์ ๊ฑฐ ์ธ ๊ฐ์ง ์ทจ์ฝ์ (CVE-2019-16775, CVE-2019-16776 ะธ CVE-2019-16777)์ ์ฌ์ฉํ๋ฉด ๊ณต๊ฒฉ์๊ฐ ์ค๋นํ ํจํค์ง๋ฅผ ์ค์นํ ๋ ์์์ ์์คํ
ํ์ผ์ ์์ ํ๊ฑฐ๋ ๋ฎ์ด์ธ ์ ์์ต๋๋ค. ๋ณดํธ๋ฅผ ์ํ ํด๊ฒฐ ๋ฐฉ๋ฒ์ผ๋ก ๋ด์ฅ ์ฒ๋ฆฌ๊ธฐ ํจํค์ง์ ์คํ์ ๊ธ์งํ๋ "-ignore-scripts" ์ต์
์ ์ฌ์ฉํ์ฌ ์ค์นํ ์ ์์ต๋๋ค. NPM ๊ฐ๋ฐ์๋ ์ ์ฅ์์์ ์ฌ์ฉ ๊ฐ๋ฅํ ํจํค์ง๋ฅผ ๋ถ์ํ ๊ฒฐ๊ณผ ๊ณต๊ฒฉ์ ์ํํ๋ ๋ฐ ์ฌ์ฉ๋๋ ์๋ณ๋ ๋ฌธ์ ์ ํ์ ์ ๋ฐ๊ฒฌํ์ง ๋ชปํ์ต๋๋ค.
CVE-2019-16777 ๋ช
์๋ 6.13.4 ์ด์ ๋ฆด๋ฆฌ์ค์์๋ ๊ธ๋ก๋ฒ ํจํค์ง ์ค์น ์ค์ ์์คํ
์คํ ํ์ผ์ ๋ฎ์ด์ธ ์ ์์ต๋๋ค. ์คํ ํ์ผ์ด ์ค์น๋ ๋์ ๋๋ ํฐ๋ฆฌ(์ผ๋ฐ์ ์ผ๋ก /usr/local/bin)์ ํ์ผ๋ง ๋ฐ๊ฟ ์ ์์ต๋๋ค.
CVE-2019-16775 ะธ CVE-2019-16776 6.13.3 ์ด์ ๋ฆด๋ฆฌ์ค์ ๋ํ๋๋ฉฐ ๋ชจ๋(node_modules)์ ์ฌ์ฉํ์ฌ ๋๋ ํฐ๋ฆฌ ์ธ๋ถ์ ํ์ผ์ ๋ํ ๊ธฐํธ ๋งํฌ๋ฅผ ์์ฑํ๊ฑฐ๋ package.json์ bin ํ๋๋ฅผ ์กฐ์ํ์ฌ ์์์ ํ์ผ์ ์์ฑํ ์ ์์ต๋๋ค("/../"๊ฐ ํฌํจ๋ ๊ฒฝ๋ก๋ ๋ค์๊ณผ ๊ฐ์ต๋๋ค). bin ํ๋์์ ํ์ฉ๋จ).
์ถ์ฒ : opennet.ru