NPM 6.13.4 පැකේජ කළමණාකරු යාවත්කාලීන කිරීමේදී, Node.js බෙදා හැරීමට ඇතුළත් කර JavaScript භාෂාවෙන් මොඩියුල බෙදා හැරීමට භාවිතා කරයි, අවදානම් තුනක් (, и ), ප්රහාරකයෙකු විසින් සකස් කරන ලද පැකේජයක් ස්ථාපනය කිරීමේදී අත්තනෝමතික පද්ධති ගොනු වෙනස් කිරීමට හෝ නැවත ලිවීමට ඉඩ සලසයි. ආරක්ෂාව සඳහා විසඳුමක් ලෙස, ඔබට එය "-ignore-scripts" විකල්පය සමඟ ස්ථාපනය කළ හැකිය, එය බිල්ට් හැන්ඩ්ලර් පැකේජ ක්රියාත්මක කිරීම තහනම් කරයි. NPM සංවර්ධකයින් ගබඩාවේ ඇති පැකේජ විශ්ලේෂණය කළ අතර ප්රහාර එල්ල කිරීම සඳහා භාවිතා කරන හඳුනාගත් ගැටළු පිළිබඳ කිසිදු හෝඩුවාවක් සොයාගත නොහැකි විය.
CVE-2019-16777 6.13.4 ට පෙර නිකුතු වල සහ ගෝලීය පැකේජ ස්ථාපනය අතරතුර පද්ධති ක්රියාත්මක කළ හැකි ගොනු නැවත ලිවීමට ඔබට ඉඩ සලසයි. ඔබට ප්රතිස්ථාපනය කළ හැක්කේ ක්රියාත්මක කළ හැකි ගොනු ස්ථාපනය කර ඇති ඉලක්ක නාමාවලියෙහි (සාමාන්යයෙන් /usr/local/bin) පමණි.
и 6.13.3 ට පෙර නිකුතු වල දිස්වන අතර මොඩියුල (node_modules) සමඟ ඩිරෙක්ටරියෙන් පිටත ගොනු වෙත සංකේතාත්මක සබැඳියක් සෑදීමෙන් හෝ package.json හි බින් ක්ෂේත්රය හැසිරවීමෙන් ඔබට අත්තනෝමතික ගොනුවක් ලිවීමට ඉඩ සලසයි (“/../” සහිත මාර්ග බඳුන් ක්ෂේත්රය තුළ අවසර දී ඇත) .
මූලාශ්රය: opennet.ru
