ProHoster > BLOG > știri pe internet > Vulnerabilitatea în NPM care permite modificarea fișierelor arbitrare în timpul instalării pachetului
Vulnerabilitatea în NPM care permite modificarea fișierelor arbitrare în timpul instalării pachetului
În actualizarea managerului de pachete NPM 6.13.4, inclus în distribuția Node.js și folosit pentru a distribui module în limbajul JavaScript, eliminat trei vulnerabilități (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), care permite ca fișierele de sistem arbitrare să fie modificate sau suprascrise atunci când se instalează un pachet pregătit de un atacator. Ca o soluție pentru protecție, îl puteți instala cu opțiunea „-ignore-scripts”, care interzice execuția pachetelor de gestionare încorporate. Dezvoltatorii NPM au analizat pachetele disponibile în depozit și nu au găsit urme ale problemelor identificate folosite pentru a efectua atacuri.
CVE-2019-16777 apare în versiunile anterioare versiunii 6.13.4 și vă permite să suprascrieți fișierele executabile de sistem în timpul instalării globale a pachetului. Puteți înlocui doar fișierele din directorul țintă în care sunt instalate fișierele executabile (de obicei /usr/local/bin).
CVE-2019-16775 и CVE-2019-16776 apar în versiunile anterioare 6.13.3 și vă permit să scrieți un fișier arbitrar prin crearea unei legături simbolice către fișierele din afara directorului cu module (node_modules) sau prin manipularea câmpului bin din package.json (căile cu „/../” au fost permis în câmpul de gunoi) .