Kwetsbaarheid in NPM waardoor willekeurige bestanden kunnen worden gewijzigd tijdens de installatie van pakketten

In de update van de NPM 6.13.4-pakketbeheerder, opgenomen in de Node.js-distributie en gebruikt om modules in de JavaScript-taal te distribueren, geëlimineerd drie kwetsbaarheden (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), waarmee willekeurige systeembestanden kunnen worden gewijzigd of overschreven bij het installeren van een pakket dat door een aanvaller is voorbereid. Als tijdelijke oplossing voor de bescherming kunt u het installeren met de optie “-ignore-scripts”, die de uitvoering van ingebouwde handlerpakketten verbiedt. NPM-ontwikkelaars analyseerden de pakketten die beschikbaar waren in de repository en vonden geen sporen van de geïdentificeerde problemen die werden gebruikt om aanvallen uit te voeren.

CVE-2019-16777 komt naar voren in releases vóór 6.13.4 en stelt u in staat uitvoerbare systeembestanden te overschrijven tijdens de installatie van het globale pakket. U kunt alleen bestanden vervangen in de doelmap waar de uitvoerbare bestanden zijn geïnstalleerd (meestal /usr/local/bin).

CVE-2019-16775 и CVE-2019-16776 verschijnen in releases vóór 6.13.3 en stellen u in staat een willekeurig bestand te schrijven door een symbolische link te maken naar bestanden buiten de map met modules (node_modules) of door het bin-veld in package.json te manipuleren (paden met “/../” waren toegestaan ​​in het bakveld).

Bron: opennet.ru