NPM ਵਿੱਚ ਕਮਜ਼ੋਰੀ ਜੋ ਪੈਕੇਜ ਇੰਸਟਾਲੇਸ਼ਨ ਦੌਰਾਨ ਆਰਬਿਟਰਰੀ ਫਾਈਲਾਂ ਨੂੰ ਸੋਧਣ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ

NPM 6.13.4 ਪੈਕੇਜ ਮੈਨੇਜਰ ਦੇ ਅੱਪਡੇਟ ਵਿੱਚ, Node.js ਡਿਸਟਰੀਬਿਊਸ਼ਨ ਵਿੱਚ ਸ਼ਾਮਲ ਹੈ ਅਤੇ JavaScript ਭਾਸ਼ਾ ਵਿੱਚ ਮੋਡੀਊਲ ਵੰਡਣ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ, ਹਟਾਇਆ ਤਿੰਨ ਕਮਜ਼ੋਰੀਆਂ (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), ਜੋ ਹਮਲਾਵਰ ਦੁਆਰਾ ਤਿਆਰ ਕੀਤੇ ਪੈਕੇਜ ਨੂੰ ਸਥਾਪਿਤ ਕਰਨ ਵੇਲੇ ਆਰਬਿਟਰਰੀ ਸਿਸਟਮ ਫਾਈਲਾਂ ਨੂੰ ਸੋਧਣ ਜਾਂ ਓਵਰਰਾਈਟ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ। ਸੁਰੱਖਿਆ ਲਈ ਇੱਕ ਹੱਲ ਵਜੋਂ, ਤੁਸੀਂ ਇਸਨੂੰ "-ignore-scripts" ਵਿਕਲਪ ਨਾਲ ਇੰਸਟਾਲ ਕਰ ਸਕਦੇ ਹੋ, ਜੋ ਕਿ ਬਿਲਟ-ਇਨ ਹੈਂਡਲਰ ਪੈਕੇਜਾਂ ਨੂੰ ਚਲਾਉਣ ਦੀ ਮਨਾਹੀ ਕਰਦਾ ਹੈ। NPM ਡਿਵੈਲਪਰਾਂ ਨੇ ਰਿਪੋਜ਼ਟਰੀ ਵਿੱਚ ਉਪਲਬਧ ਪੈਕੇਜਾਂ ਦਾ ਵਿਸ਼ਲੇਸ਼ਣ ਕੀਤਾ ਅਤੇ ਹਮਲਿਆਂ ਨੂੰ ਅੰਜਾਮ ਦੇਣ ਲਈ ਵਰਤੀਆਂ ਜਾਣ ਵਾਲੀਆਂ ਪਛਾਣੀਆਂ ਸਮੱਸਿਆਵਾਂ ਦੇ ਕੋਈ ਨਿਸ਼ਾਨ ਨਹੀਂ ਮਿਲੇ।

CVE-2019-16777 ਦਿਖਾਈ ਦਿੰਦਾ ਹੈ 6.13.4 ਤੋਂ ਪਹਿਲਾਂ ਦੇ ਰੀਲੀਜ਼ਾਂ ਵਿੱਚ ਅਤੇ ਤੁਹਾਨੂੰ ਗਲੋਬਲ ਪੈਕੇਜ ਇੰਸਟਾਲੇਸ਼ਨ ਦੌਰਾਨ ਸਿਸਟਮ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਫਾਈਲਾਂ ਨੂੰ ਓਵਰਰਾਈਟ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦਾ ਹੈ। ਤੁਸੀਂ ਸਿਰਫ਼ ਟਾਰਗਿਟ ਡਾਇਰੈਕਟਰੀ ਵਿੱਚ ਫਾਈਲਾਂ ਨੂੰ ਬਦਲ ਸਕਦੇ ਹੋ ਜਿੱਥੇ ਚੱਲਣਯੋਗ ਫਾਈਲਾਂ ਇੰਸਟਾਲ ਹੁੰਦੀਆਂ ਹਨ (ਆਮ ਤੌਰ 'ਤੇ /usr/local/bin)।

CVE-2019-16775 и CVE-2019-16776 6.13.3 ਤੋਂ ਪਹਿਲਾਂ ਰੀਲੀਜ਼ਾਂ ਵਿੱਚ ਦਿਖਾਈ ਦਿੰਦਾ ਹੈ ਅਤੇ ਤੁਹਾਨੂੰ ਡਾਇਰੈਕਟਰੀ ਦੇ ਬਾਹਰ ਮੋਡੀਊਲ (ਨੋਡ_ਮੌਡਿਊਲ) ਨਾਲ ਜਾਂ ਪੈਕੇਜ.json (“/../” ਵਾਲੇ ਮਾਰਗਾਂ ਵਿੱਚ ਬਿਨ ਫੀਲਡ ਨੂੰ ਹੇਰਾਫੇਰੀ ਕਰਕੇ ਇੱਕ ਚਿੰਨ੍ਹਾਤਮਕ ਲਿੰਕ ਬਣਾ ਕੇ ਇੱਕ ਆਰਬਿਟਰਰੀ ਫਾਈਲ ਲਿਖਣ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦਾ ਹੈ। ਬਿਨ ਖੇਤਰ ਵਿੱਚ ਇਜਾਜ਼ਤ ਦਿੱਤੀ ਗਈ ਹੈ)।

ਸਰੋਤ: opennet.ru