NPM मा कमजोरी जसले प्याकेज स्थापनाको बेला मनमानी फाइलहरू परिमार्जन गर्न अनुमति दिन्छ

NPM 6.13.4 प्याकेज प्रबन्धकको अद्यावधिकमा, Node.js वितरणमा समावेश गरिएको र JavaScript भाषामा मोड्युलहरू वितरण गर्न प्रयोग गरिन्छ, हटाइयो तीन कमजोरी (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), जसले आक्रमणकर्ताद्वारा तयार पारिएको प्याकेज स्थापना गर्दा मनमानी प्रणाली फाइलहरूलाई परिमार्जन वा अधिलेखन गर्न अनुमति दिन्छ। सुरक्षाको लागि समाधानको रूपमा, तपाइँ यसलाई "-ignore-scripts" विकल्पको साथ स्थापना गर्न सक्नुहुन्छ, जसले निर्मित ह्यान्डलर प्याकेजहरूको कार्यान्वयनलाई निषेध गर्दछ। NPM विकासकर्ताहरूले भण्डारमा उपलब्ध प्याकेजहरू विश्लेषण गरे र पहिचान गरिएका समस्याहरूको कुनै निशानहरू फेला पारेनन् जुन आक्रमणहरू गर्न प्रयोग भइरहेको छ।

CVE-2019-16777 देखिन्छ 6.13.4 अघि रिलीजहरूमा र तपाईंलाई विश्वव्यापी प्याकेज स्थापनाको समयमा प्रणाली कार्यान्वयनयोग्य फाइलहरू अधिलेखन गर्न अनुमति दिन्छ। तपाईले लक्ष्य डाइरेक्टरीमा मात्र फाइलहरू प्रतिस्थापन गर्न सक्नुहुन्छ जहाँ कार्यान्वयनयोग्य फाइलहरू स्थापना हुन्छन् (सामान्यतया /usr/local/bin)।

CVE-2019-16775 и CVE-2019-16776 6.13.3 अघि रिलीजहरूमा देखा पर्दछ र तपाइँलाई डाइरेक्टरी बाहिर मोड्युलहरू (node_modules) को साथ फाइलहरूमा प्रतीकात्मक लिङ्क सिर्जना गरेर वा package.json मा बिन फिल्ड हेरफेर गरेर (“/../” को साथ पथहरू थिए। बिन फिल्डमा अनुमति छ)।

स्रोत: opennet.ru