패키지 설치 중 임의 파일 수정을 허용하는 NPM의 취약점

Node.js 배포판에 포함되어 JavaScript 언어로 모듈을 배포하는 데 사용되는 NPM 6.13.4 패키지 관리자 업데이트에서, 제거 세 가지 취약점(CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777)을 사용하면 공격자가 준비한 패키지를 설치할 때 임의의 시스템 파일을 수정하거나 덮어쓸 수 있습니다. 보호를 위한 해결 방법으로 내장 처리기 패키지의 실행을 금지하는 "-ignore-scripts" 옵션을 사용하여 설치할 수 있습니다. NPM 개발자는 저장소에서 사용 가능한 패키지를 분석한 결과 공격을 수행하는 데 사용되는 식별된 문제의 흔적을 발견하지 못했습니다.

CVE-2019-16777 명시된 6.13.4 이전 릴리스에서는 글로벌 패키지 설치 중에 시스템 실행 파일을 덮어쓸 수 있습니다. 실행 파일이 설치된 대상 디렉터리(일반적으로 /usr/local/bin)의 파일만 바꿀 수 있습니다.

CVE-2019-16775 и CVE-2019-16776 6.13.3 이전 릴리스에 나타나며 모듈(node_modules)을 사용하여 디렉터리 외부의 파일에 대한 기호 링크를 생성하거나 package.json의 bin 필드를 조작하여 임의의 파일을 작성할 수 있습니다("/../"가 포함된 경로는 다음과 같습니다). bin 필드에서 허용됨).

출처 : opennet.ru