Sårbarhet i NPM som gjør at vilkårlige filer kan endres under pakkeinstallasjon

I oppdateringen av NPM 6.13.4-pakkebehandleren, inkludert i Node.js-distribusjonen og brukt til å distribuere moduler i JavaScript-språket, eliminert tre sårbarheter (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), som gjør at vilkårlige systemfiler kan endres eller overskrives når du installerer en pakke utarbeidet av en angriper. Som en løsning for beskyttelse kan du installere den med alternativet "-ignore-scripts", som forbyr kjøring av innebygde behandlerpakker. NPM-utviklere analyserte pakkene som var tilgjengelige i depotet og fant ingen spor etter de identifiserte problemene som ble brukt til å utføre angrep.

CVE-2019-16777 vises i utgivelser før 6.13.4 og lar deg overskrive kjørbare systemfiler under global pakkeinstallasjon. Du kan bare erstatte filer i målkatalogen der de kjørbare filene er installert (vanligvis /usr/local/bin).

CVE-2019-16775 и CVE-2019-16776 vises i utgivelser før 6.13.3 og lar deg skrive en vilkårlig fil ved å lage en symbolsk lenke til filer utenfor katalogen med moduler (node_modules) eller ved å manipulere bin-feltet i package.json (stier med "/../" var tillatt i søppelfeltet).

Kilde: opennet.ru