ProHoster > blog > internetnieuws > Kwetsbaarheid in NPM waardoor willekeurige bestanden kunnen worden gewijzigd tijdens de installatie van pakketten
Kwetsbaarheid in NPM waardoor willekeurige bestanden kunnen worden gewijzigd tijdens de installatie van pakketten
In de update van de NPM 6.13.4-pakketbeheerder, opgenomen in de Node.js-distributie en gebruikt om modules in de JavaScript-taal te distribueren, geëlimineerd drie kwetsbaarheden (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), waarmee willekeurige systeembestanden kunnen worden gewijzigd of overschreven bij het installeren van een pakket dat door een aanvaller is voorbereid. Als tijdelijke oplossing voor de bescherming kunt u het installeren met de optie “-ignore-scripts”, die de uitvoering van ingebouwde handlerpakketten verbiedt. NPM-ontwikkelaars analyseerden de pakketten die beschikbaar waren in de repository en vonden geen sporen van de geïdentificeerde problemen die werden gebruikt om aanvallen uit te voeren.
CVE-2019-16777 komt naar voren in releases vóór 6.13.4 en stelt u in staat uitvoerbare systeembestanden te overschrijven tijdens de installatie van het globale pakket. U kunt alleen bestanden vervangen in de doelmap waar de uitvoerbare bestanden zijn geïnstalleerd (meestal /usr/local/bin).
CVE-2019-16775 и CVE-2019-16776 verschijnen in releases vóór 6.13.3 en stellen u in staat een willekeurig bestand te schrijven door een symbolische link te maken naar bestanden buiten de map met modules (node_modules) of door het bin-veld in package.json te manipuleren (paden met “/../” waren toegestaan in het bakveld).