ะ ะพะฑะฝะพะฒะปะตะฝะธะธ ะฟะฐะบะตัะฝะพะณะพ ะผะตะฝะตะดะถะตัะฐ NPM 6.13.4, ะฒั
ะพะดััะตะณะพ ะฒ ะฟะพััะฐะฒะบั Node.js ะธ ะฟัะธะผะตะฝัะตะผะพะณะพ ะดะปั ัะฐัะฟัะพัััะฐะฝะตะฝะธั ะผะพะดัะปะตะน ะฝะฐ ัะทัะบะต JavaScript, เดเดฒเตเดฒเดพเดคเดพเดเตเดเดฟ เดฎเตเดจเตเดจเต เดเตเดเตเดชเดพเดเตเดเตพ (CVE-2019-16775, CVE-2019-16776 ะธ CVE-2019-16777), ะฟะพะทะฒะพะปัััะธะต ะผะพะดะธัะธัะธัะพะฒะฐัั ะธะปะธ ะฟะตัะตะทะฐะฟะธัะฐัั ะฟัะพะธะทะฒะพะปัะฝัะต ัะธััะตะผะฝัะต ัะฐะนะปั ะฟัะธ ัััะฐะฝะพะฒะบะต ะฟะฐะบะตัะฐ, ะฟะพะดะณะพัะพะฒะปะตะฝะฝะพะณะพ ะทะปะพัะผััะปะตะฝะฝะธะบะพะผ. ะ ะบะฐัะตััะฒะต ะพะฑั
ะพะดะฝะพะณะพ ะฟััะธ ะทะฐัะธัั ะผะพะถะตั ะฑััั ัััะฐะฝะพะฒะบะฐ ั ะพะฟัะธะตะน ยซโignore-scriptsยป, ะทะฐะฟัะตัะฐััะตะน ะฒัะฟะพะปะฝะตะฝะธะต ะฒัััะพะตะฝะฝัั
ะฟะฐะบะตัั ะพะฑัะฐะฑะพััะธะบะพะฒ. ะ ะฐะทัะฐะฑะพััะธะบะธ NPM ะฟัะพะฐะฝะฐะปะธะทะธัะพะฒะฐะปะธ ะธะผะตััะธะตัั ะฒ ัะตะฟะพะทะธัะพัะธะธ ะฟะฐะบะตัั ะธ ะฝะต ะฝะฐัะปะธ ัะปะตะดะพะฒ ะธัะฟะพะปัะทะพะฒะฐะฝะธั ะฒััะฒะปะตะฝะฝัั
ะฟัะพะฑะปะตะผ ะดะปั ัะพะฒะตััะตะฝะธั ะฐัะฐะบ.
CVE-2019-16777 เดชเตเดฐเตเดฏเดตเตเดฒเดฟเดฏเตเดฑเตเดฑเตเดธเตเดฏ ะฒ ะฒัะฟััะบะฐั
ะดะพ 6.13.4 ะธ ะฟะพะทะฒะพะปัะตั ะฟะตัะตะทะฐะฟะธัะฐัั ัะธััะตะผะฝัะต ะธัะฟะพะปะฝัะตะผัะต ัะฐะนะปั ะฒ ะฟัะพัะตััะต ะณะปะพะฑะฐะปัะฝะพะน ัััะฐะฝะพะฒะบะธ ะฟะฐะบะตัะฐ. ะะพะดะผะตะฝะธัั ะผะพะถะฝะพ ัะพะปัะบะพ ัะฐะนะปั ะฒ ัะตะปะตะฒะพะผ ะบะฐัะฐะปะพะณะต, ะบัะดะฐ ัััะฐะฝะฐะฒะปะธะฒะฐัััั ะธัะฟะพะปะฝัะตะผัะต ัะฐะนะปั (ะพะฑััะฝะพ /usr/local/bin).
CVE-2019-16775 ะธ CVE-2019-16776 ะฟัะพัะฒะปััััั ะฒ ะฒัะฟััะบะฐั
ะดะพ 6.13.3 ะธ ะฟะพะทะฒะพะปััั ะทะฐะฟะธัะฐัั ะฟัะพะธะทะฒะพะปัะฝัะน ัะฐะนะป ัะตัะตะท ัะพะทะดะฐะฝะธะต ัะธะผะฒะพะปะธัะตัะบะพะน ัััะปะบะธ ะฝะฐ ัะฐะนะปั ะฒะฝะต ะบะฐัะฐะปะพะณะฐ ั ะผะพะดัะปัะผะธ (node_modules) ะธะปะธ ัะตัะตะท ะผะฐะฝะธะฟัะปััะธะธ ั ะฟะพะปะตะผ bin ะฒ package.json (ะฒ ะฟะพะปะต bin ะดะพะฟััะบะฐะปะพัั ะธัะฟะพะปัะทะพะฒะฐะฝะธะต ะฟััะตะน ั ยซ/../ยป).
เด
เดตเดฒเดเดฌเด: opennet.ru