Топтомду орнотуу учурунда ыктыярдуу файлдарды өзгөртүүгө мүмкүндүк берген NPMдеги аялуу
Node.js бөлүштүрүүгө киргизилген жана JavaScript тилинде модулдарды жайылтуу үчүн колдонулган NPM 6.13.4 пакет менеджеринин жаңылоосунда, жок кылынды үч аялуу (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), бул чабуулчу тарабынан даярдалган пакетти орнотууда каалагандай система файлдарын өзгөртүүгө же үстүнөн жазууга мүмкүндүк берет. Коргоо үчүн убактылуу чара катары, сиз аны "-ignore-scripts" опциясы менен орното аласыз, ал орнотулган иштеткич пакеттерин аткарууга тыюу салат. NPM иштеп чыгуучулары репозиторийде бар топтомдорду талдап чыгышты жана чабуулдарды жүзөгө ашыруу үчүн колдонулган аныкталган көйгөйлөрдүн изин табышкан жок.
CVE-2019-16777 пайда болот 6.13.4 чейин релиздерде жана глобалдык пакетти орнотуу учурунда тутумдун аткарылуучу файлдарын кайра жазууга мүмкүндүк берет. Аткарылуучу файлдар орнотулган максаттуу каталогдогу файлдарды гана алмаштыра аласыз (көбүнчө /usr/local/bin).
CVE-2019-16775 и CVE-2019-16776 6.13.3 чейин релиздерде пайда болот жана модулдар (node_modules) бар каталогдон тышкаркы файлдарга символдук шилтеме түзүү аркылуу же package.json ичиндеги бин талаасын башкаруу аркылуу ыктыярдуу файлды жазууга мүмкүнчүлүк берет ("/../" бар жолдор болгон бин талаасында уруксат берилген).