ProHoster > Blogs > interneta ziņas > NPM ievainojamība, kas pakotnes instalēšanas laikā ļauj modificēt patvaļīgus failus
NPM ievainojamība, kas pakotnes instalēšanas laikā ļauj modificēt patvaļīgus failus
NPM 6.13.4 pakotņu pārvaldnieka atjauninājumā, kas iekļauts Node.js izplatīšanā un tiek izmantots moduļu izplatīšanai JavaScript valodā, likvidēta trīs ievainojamības (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), kas ļauj modificēt vai pārrakstīt patvaļīgus sistēmas failus, instalējot uzbrucēja sagatavotu pakotni. Kā aizsardzības risinājumu varat to instalēt, izmantojot opciju “-ignore-scripts”, kas aizliedz izpildīt iebūvētās apdarinātāja pakotnes. NPM izstrādātāji analizēja repozitorijā pieejamās pakotnes un neatrada nekādas pēdas, ka identificētās problēmas tiktu izmantotas uzbrukumu veikšanai.
CVE-2019-16777 parādās laidienos pirms 6.13.4 un ļauj pārrakstīt sistēmas izpildāmos failus globālās pakotnes instalēšanas laikā. Failus var aizstāt tikai tajā mērķa direktorijā, kurā ir instalēti izpildāmie faili (parasti /usr/local/bin).
CVE-2019-16775 и CVE-2019-16776 parādās laidienos pirms versijas 6.13.3 un ļauj rakstīt patvaļīgu failu, izveidojot simbolisku saiti uz failiem ārpus direktorija ar moduļiem (node_modules) vai manipulējot ar pakotnes lauku pack.json (ceļi ar “/../” bija atļauts atkritumu tvertnes laukā).