NPM ievainojamība, kas pakotnes instalēšanas laikā ļauj modificēt patvaļīgus failus

NPM 6.13.4 pakotņu pārvaldnieka atjauninājumā, kas iekļauts Node.js izplatīšanā un tiek izmantots moduļu izplatīšanai JavaScript valodā, likvidēta trīs ievainojamības (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), kas ļauj modificēt vai pārrakstīt patvaļīgus sistēmas failus, instalējot uzbrucēja sagatavotu pakotni. Kā aizsardzības risinājumu varat to instalēt, izmantojot opciju “-ignore-scripts”, kas aizliedz izpildīt iebūvētās apdarinātāja pakotnes. NPM izstrādātāji analizēja repozitorijā pieejamās pakotnes un neatrada nekādas pēdas, ka identificētās problēmas tiktu izmantotas uzbrukumu veikšanai.

CVE-2019-16777 parādās laidienos pirms 6.13.4 un ļauj pārrakstīt sistēmas izpildāmos failus globālās pakotnes instalēšanas laikā. Failus var aizstāt tikai tajā mērķa direktorijā, kurā ir instalēti izpildāmie faili (parasti /usr/local/bin).

CVE-2019-16775 и CVE-2019-16776 parādās laidienos pirms versijas 6.13.3 un ļauj rakstīt patvaļīgu failu, izveidojot simbolisku saiti uz failiem ārpus direktorija ar moduļiem (node_modules) vai manipulējot ar pakotnes lauku pack.json (ceļi ar “/../” bija atļauts atkritumu tvertnes laukā).

Avots: opennet.ru