പാക്കേജ് ഇൻസ്റ്റാളേഷൻ സമയത്ത് അനിയന്ത്രിതമായ ഫയലുകൾ പരിഷ്കരിക്കാൻ അനുവദിക്കുന്ന NPM-ലെ അപകടസാധ്യത

В обновлении пакетного менеджера NPM 6.13.4, входящего в поставку Node.js и применяемого для распространения модулей на языке JavaScript, ഇല്ലാതാക്കി മൂന്ന് കേടുപാടുകൾ (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), позволяющие модифицировать или перезаписать произвольные системные файлы при установке пакета, подготовленного злоумышленником. В качестве обходного пути защиты может быть установка с опцией «—ignore-scripts», запрещающей выполнение встроенных пакеты обработчиков. Разработчики NPM проанализировали имеющиеся в репозитории пакеты и не нашли следов использования выявленных проблем для совершения атак.

CVE-2019-16777 പ്രോയവ്ലിയേറ്റ്സ്യ в выпусках до 6.13.4 и позволяет перезаписать системные исполняемые файлы в процессе глобальной установки пакета. Подменить можно только файлы в целевом каталоге, куда устанавливаются исполняемые файлы (обычно /usr/local/bin).

CVE-2019-16775 и CVE-2019-16776 проявляются в выпусках до 6.13.3 и позволяют записать произвольный файл через создание символической ссылки на файлы вне каталога с модулями (node_modules) или через манипуляции с полем bin в package.json (в поле bin допускалось использование путей с «/../»).

അവലംബം: opennet.ru