NPM ۾ ڪمزوري جيڪا اجازت ڏئي ٿي صوابديدي فائلن کي پيڪيج جي انسٽاليشن دوران تبديل ڪرڻ جي

NPM 6.13.4 پيڪيج مئنيجر جي تازه ڪاري ۾، Node.js تقسيم ۾ شامل ڪيو ويو ۽ جاوا اسڪرپٽ ٻولي ۾ ماڊل ورهائڻ لاء استعمال ڪيو ويو، ختم ڪيو ويو ٽي ڪمزوريون (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777)، جيڪو هڪ حملي ڪندڙ طرفان تيار ڪيل پيڪيج کي نصب ڪرڻ دوران خودمختياري سسٽم فائلن کي تبديل ڪرڻ يا اوور رائٽ ڪرڻ جي اجازت ڏئي ٿو. تحفظ لاءِ ڪم ڪار جي طور تي، توھان ان کي انسٽال ڪري سگھو ٿا ”-ignore-scripts“ آپشن، جيڪو ھٿ ۾ ٺاھيندڙ پيڪيجز جي عمل کي منع ڪري ٿو. NPM ڊولپرز مخزن ۾ موجود پيڪيجز جو تجزيو ڪيو ۽ حملن کي انجام ڏيڻ لاءِ استعمال ٿيل سڃاڻپ مسئلن جو ڪوبه نشان نه مليو.

CVE-2019-16777 پيش قدمي 6.13.4 کان اڳ جي رليز ۾ ۽ توهان کي اجازت ڏئي ٿي ته سسٽم جي قابل عمل فائلن کي اوور رائٽ ڪرڻ دوران گلوبل پيڪيج جي انسٽاليشن دوران. توھان صرف فائلن کي ھدف ڊاريڪٽري ۾ تبديل ڪري سگھو ٿا جتي قابل عمل فائلون نصب ٿيل آھن (عام طور تي /usr/local/bin).

CVE-2019-16775 и CVE-2019-16776 6.13.3 کان اڳ رليز ۾ ظاهر ٿيو ۽ توهان کي ڊاريڪٽري کان ٻاهر فائلن لاءِ علامتي لنڪ ٺاهي ماڊلز (node_modules) سان يا package.json (“/../” سان گڏ رستا هئا. بن فيلڊ ۾ اجازت ڏني وئي).

جو ذريعو: opennet.ru