Vulnerabilitatea în NPM care permite modificarea fișierelor arbitrare în timpul instalării pachetului

În actualizarea managerului de pachete NPM 6.13.4, inclus în distribuția Node.js și folosit pentru a distribui module în limbajul JavaScript, eliminat trei vulnerabilități (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), care permite ca fișierele de sistem arbitrare să fie modificate sau suprascrise atunci când se instalează un pachet pregătit de un atacator. Ca o soluție pentru protecție, îl puteți instala cu opțiunea „-ignore-scripts”, care interzice execuția pachetelor de gestionare încorporate. Dezvoltatorii NPM au analizat pachetele disponibile în depozit și nu au găsit urme ale problemelor identificate folosite pentru a efectua atacuri.

CVE-2019-16777 apare în versiunile anterioare versiunii 6.13.4 și vă permite să suprascrieți fișierele executabile de sistem în timpul instalării globale a pachetului. Puteți înlocui doar fișierele din directorul țintă în care sunt instalate fișierele executabile (de obicei /usr/local/bin).

CVE-2019-16775 и CVE-2019-16776 apar în versiunile anterioare 6.13.3 și vă permit să scrieți un fișier arbitrar prin crearea unei legături simbolice către fișierele din afara directorului cu module (node_modules) sau prin manipularea câmpului bin din package.json (căile cu „/../” au fost permis în câmpul de gunoi) .

Sursa: opennet.ru