Vulnerabbiltà fl-NPM li tippermetti li fajls arbitrarji jiġu modifikati waqt l-installazzjoni tal-pakkett

Fl-aġġornament tal-maniġer tal-pakkett NPM 6.13.4, inkluż fid-distribuzzjoni Node.js u użat biex jiddistribwixxi moduli fil-lingwa JavaScript, eliminati tliet vulnerabbiltajiet (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), li tippermetti li fajls tas-sistema arbitrarji jiġu modifikati jew miktuba fuqhom meta jiġi installat pakkett ippreparat minn attakkant. Bħala soluzzjoni għall-protezzjoni, tista 'tinstallaha bl-għażla "-ignore-scripts", li tipprojbixxi l-eżekuzzjoni ta' pakketti ta 'handler integrati. L-iżviluppaturi tal-NPM analizzaw il-pakketti disponibbli fir-repożitorju u ma sabu l-ebda traċċi tal-problemi identifikati li qed jintużaw biex jitwettqu attakki.

CVE-2019-16777 tidher fir-rilaxxi qabel 6.13.4 u jippermettilek li tissostitwixxi l-fajls eżekutibbli tas-sistema waqt l-installazzjoni tal-pakkett globali. Tista 'biss tissostitwixxi fajls fid-direttorju fil-mira fejn il-fajls eżekutibbli huma installati (ġeneralment /usr/local/bin).

CVE-2019-16775 и CVE-2019-16776 jidhru fir-rilaxxi qabel 6.13.3 u jippermettulek tikteb fajl arbitrarju billi toħloq link simboliku għal fajls barra mid-direttorju b'moduli (node_modules) jew billi timmanipula l-qasam bin f'package.json (mogħdijiet b'"/../" kienu permess fil-qasam tal-bin).

Sors: opennet.ru