Node.js түгээлтэд багтсан, JavaScript хэл дээр модулиудыг түгээхэд ашигладаг NPM 6.13.4 багц менежерийн шинэчлэлд, гурван эмзэг байдал (, и ), халдагчийн бэлтгэсэн багцыг суулгах үед дурын системийн файлуудыг өөрчлөх эсвэл дарж бичих боломжийг олгодог. Хамгаалах асуудлыг шийдвэрлэхийн тулд та үүнийг "-ignore-scripts" сонголтоор суулгаж болно, энэ нь суулгагдсан зохицуулагчийн багцуудыг ажиллуулахыг хориглодог. NPM хөгжүүлэгчид репозиторд байгаа багцуудад дүн шинжилгээ хийж, халдлага үйлдэхэд ашиглаж буй илрүүлсэн асуудлын ул мөр олдсонгүй.
CVE-2019-16777 6.13.4-ээс өмнөх хувилбаруудад байгаа бөгөөд дэлхийн багцыг суулгах явцад системийн гүйцэтгэх файлуудыг дарж бичих боломжийг танд олгоно. Та зөвхөн гүйцэтгэх боломжтой файлуудыг суулгасан зорилтот директор доторх файлуудыг солих боломжтой (ихэвчлэн /usr/local/bin).
и 6.13.3-аас өмнөх хувилбаруудад гарч ирэх ба модулиудтай (node_modules) директорийн гаднах файлууд руу симбол холбоос үүсгэх эсвэл package.json доторх бин талбарыг удирдах замаар дурын файл бичих боломжийг танд олгоно ("/../"-тай замууд байсан). хогийн савны талбарт зөвшөөрөгдсөн) .
Эх сурвалж: opennet.ru
