Schwachstelle an NPM déi arbiträr Dateie während der Packageinstallatioun geännert kënne ginn

Am Update vum NPM 6.13.4 Package Manager, abegraff an der Node.js Verdeelung a benotzt fir Moduler an der JavaScript Sprooch ze verdeelen, eliminéiert dräi Schwachstelle (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), wat erlaabt datt arbiträr Systemdateien geännert oder iwwerschriwwe kënne ginn wann Dir e Package installéiert, dee vun engem Ugräifer preparéiert gëtt. Als Léisung fir de Schutz kënnt Dir et mat der Optioun "-ignore-Scripts" installéieren, déi d'Ausféierung vun agebaute Handler-Pakete verbitt. NPM Entwéckler analyséiert d'Packagen, déi am Repository verfügbar sinn, a fonnt keng Spure vun den identifizéierten Probleemer, déi benotzt gi fir Attacken auszeféieren.

CVE-2019-16777 manifestéiert ass a Verëffentlechungen virum 6.13.4 an erlaabt Iech System ausführbar Dateien während der globaler Packageinstallatioun ze iwwerschreiwe. Dir kënnt nëmmen Dateien am Zilverzeichnis ersetzen, wou déi ausführbar Dateien installéiert sinn (normalerweis /usr/local/bin).

CVE-2019-16775 и CVE-2019-16776 erschéngt a Verëffentlechungen virum 6.13.3 an erlaabt Iech eng arbiträr Datei ze schreiwen andeems Dir e symbolesche Link op Dateien ausserhalb vum Verzeechnes mat Moduler (node_modules) erstellt oder duerch d'Manipulatioun vum Bin Feld am package.json (Weeër mat "/../" waren erlaabt am Dreckskëschtfeld).

Source: opennet.ru