NPM मधील असुरक्षा ज्यामुळे सिस्टमवरील फायली ओव्हरराईट होतात

GitHub ने tar आणि @npmcli/arborist पॅकेजेसमधील सात असुरक्षिततेचे तपशील उघड केले आहेत, जे tar आर्काइव्हसह कार्य करण्यासाठी आणि Node.js मधील अवलंबित्व वृक्षाची गणना करण्यासाठी कार्ये प्रदान करतात. विशेषत: डिझाईन केलेले संग्रहण अनपॅक करताना असुरक्षा, मूळ निर्देशिकेच्या बाहेर फायली अधिलिखित करण्यास परवानगी देतात ज्यामध्ये अनपॅकिंग केले जाते, सध्याच्या प्रवेश अधिकारांनी परवानगी दिली आहे. समस्यांमुळे सिस्टमवर अनियंत्रित कोडची अंमलबजावणी आयोजित करणे शक्य होते, उदाहरणार्थ, ~/.bashrc किंवा ~/.प्रोफाइलमध्ये आदेश जोडून, ​​जेव्हा एखाद्या अनाधिकृत वापरकर्त्याद्वारे ऑपरेशन केले जाते, किंवा म्हणून चालत असताना सिस्टम फाइल्स बदलून मूळ.

एनपीएम पॅकेजेससह ऑपरेशन्स करताना एनपीएम पॅकेज मॅनेजरमध्ये समस्याप्रधान कोड वापरला जातो या वस्तुस्थितीमुळे असुरक्षिततेचा धोका वाढतो, ज्यामुळे रिपॉजिटरीमध्ये विशेषतः डिझाइन केलेले एनपीएम पॅकेज ठेवून वापरकर्त्यांवर हल्ला आयोजित करणे शक्य होते, प्रक्रिया. ज्यापैकी आक्रमणकर्त्याचा कोड सिस्टमवर कार्यान्वित करेल. "-ignore-scripts" मोडमध्ये पॅकेजेस स्थापित करताना देखील आक्रमण शक्य आहे, जे अंगभूत स्क्रिप्ट्सची अंमलबजावणी अक्षम करते. एकूण, npm सातपैकी चार असुरक्षा (CVE-2021-32804, CVE-2021-37713, CVE-2021-39134 आणि CVE-2021-39135) प्रभावित करते. पहिल्या दोन समस्या टार पॅकेजशी संबंधित आहेत आणि उर्वरित दोन @npmcli/arborist पॅकेजशी संबंधित आहेत.

सर्वात धोकादायक भेद्यता, CVE-2021-32804, या वस्तुस्थितीमुळे उद्भवते की टार आर्काइव्हमध्ये निर्दिष्ट केलेले परिपूर्ण मार्ग साफ करताना, डुप्लिकेट “/” वर्णांवर चुकीच्या पद्धतीने प्रक्रिया केली जाते—फक्त पहिला वर्ण काढला जातो, बाकीचे बाकी असतात. उदाहरणार्थ, पथ "/home/user/.bashrc" "home/user/.bashrc" आणि पथ "//home/user/.bashrc" ला "/home/user/.bashrc" मध्ये रूपांतरित केले जाईल. दुसरी भेद्यता, CVE-2021-37713, फक्त Windows प्लॅटफॉर्मवर दिसते आणि सापेक्ष पथांच्या चुकीच्या साफसफाईशी संबंधित आहे ज्यामध्ये असीमित ड्राइव्ह वर्ण (“C:some\path”) आणि मागील निर्देशिकेवर परत जाण्याचा क्रम समाविष्ट आहे ( "C:../foo").

असुरक्षा CVE-2021-39134 आणि CVE-2021-39135 @npmcli/arborist मॉड्यूलसाठी विशिष्ट आहेत. पहिली समस्या फक्त अशा प्रणालींवर दिसून येते जी फाइल सिस्टम (macOS आणि Windows) मधील वर्णांच्या केसमध्ये फरक करत नाहीत आणि तुम्हाला फाइल सिस्टमच्या अनियंत्रित भागावर दोन मॉड्यूल "foo" निर्दिष्ट करून फाइल्स लिहिण्याची परवानगी देते. : "file:/some/path"' आणि 'FOO: "file:foo.tgz"', ज्याच्या प्रक्रियेमुळे /some/path निर्देशिकेतील मजकूर हटवला जाईल आणि foo.tgz ची सामग्री त्यावर लिहिली जाईल. दुसरी समस्या सिम्बॉलिक लिंक मॅनिपुलेशनद्वारे फायली ओव्हरराईट करण्याची परवानगी देते.

Node.js रिलीझ 12.22.6 आणि 14.17.6, npm CLI 6.14.15 आणि 7.21.0 आणि वैयक्तिक tar पॅकेज 4.4.19, 5.0.11 आणि 6.1.10 रिलीझमध्ये असुरक्षा सोडवल्या जातात. "बग बाउंटी" उपक्रमाचा भाग म्हणून समस्येबद्दल माहिती मिळाल्यानंतर, GitHub ने संशोधकांना $14500 दिले आणि रेपॉजिटरीमधील सामग्री स्कॅन केली, ज्यामुळे असुरक्षिततेचे शोषण करण्याचा प्रयत्न उघड झाला नाही. या समस्यांपासून संरक्षण करण्यासाठी, GitHub ने NPM पॅकेजेस प्रकाशित करण्यावर देखील बंदी घातली आहे ज्यात प्रतीकात्मक दुवे, हार्ड लिंक्स आणि रिपॉजिटरीमध्ये परिपूर्ण मार्ग समाविष्ट आहेत.

स्त्रोत: opennet.ru