ProHoster > Blog > Internet Neiegkeeten > Schwachstelle an NPM déi arbiträr Dateie während der Packageinstallatioun geännert kënne ginn
Schwachstelle an NPM déi arbiträr Dateie während der Packageinstallatioun geännert kënne ginn
Am Update vum NPM 6.13.4 Package Manager, abegraff an der Node.js Verdeelung a benotzt fir Moduler an der JavaScript Sprooch ze verdeelen, eliminéiert dräi Schwachstelle (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), wat erlaabt datt arbiträr Systemdateien geännert oder iwwerschriwwe kënne ginn wann Dir e Package installéiert, dee vun engem Ugräifer preparéiert gëtt. Als Léisung fir de Schutz kënnt Dir et mat der Optioun "-ignore-Scripts" installéieren, déi d'Ausféierung vun agebaute Handler-Pakete verbitt. NPM Entwéckler analyséiert d'Packagen, déi am Repository verfügbar sinn, a fonnt keng Spure vun den identifizéierten Probleemer, déi benotzt gi fir Attacken auszeféieren.
CVE-2019-16777 manifestéiert ass a Verëffentlechungen virum 6.13.4 an erlaabt Iech System ausführbar Dateien während der globaler Packageinstallatioun ze iwwerschreiwe. Dir kënnt nëmmen Dateien am Zilverzeichnis ersetzen, wou déi ausführbar Dateien installéiert sinn (normalerweis /usr/local/bin).
CVE-2019-16775 и CVE-2019-16776 erschéngt a Verëffentlechungen virum 6.13.3 an erlaabt Iech eng arbiträr Datei ze schreiwen andeems Dir e symbolesche Link op Dateien ausserhalb vum Verzeechnes mat Moduler (node_modules) erstellt oder duerch d'Manipulatioun vum Bin Feld am package.json (Weeër mat "/../" waren erlaabt am Dreckskëschtfeld).