Zraniteľnosť v NPM, ktorá umožňuje upravovať ľubovoľné súbory počas inštalácie balíka

V aktualizácii správcu balíkov NPM 6.13.4, ktorý je súčasťou distribúcie Node.js a slúži na distribúciu modulov v jazyku JavaScript, eliminované tri zraniteľnosti (CVE-2019 16775,, CVE-2019 16776, и CVE-2019 16777,), ktorý umožňuje upravovať alebo prepisovať ľubovoľné systémové súbory pri inštalácii balíka pripraveného útočníkom. Ako riešenie ochrany ho môžete nainštalovať pomocou voľby „-ignore-scripts“, ktorá zakazuje spúšťanie vstavaných balíčkov obslužných programov. Vývojári NPM analyzovali balíčky dostupné v úložisku a nenašli žiadne stopy po identifikovaných problémoch používaných na vykonávanie útokov.

CVE-2019 16777, sa prejavuje vo vydaniach pred 6.13.4 a umožňuje vám prepísať spustiteľné súbory systému počas globálnej inštalácie balíkov. Nahradiť môžete iba súbory v cieľovom adresári, kde sú nainštalované spustiteľné súbory (zvyčajne /usr/local/bin).

CVE-2019 16775, и CVE-2019 16776, sa objavujú vo vydaniach pred 6.13.3 a umožňujú vám napísať ľubovoľný súbor vytvorením symbolického odkazu na súbory mimo adresára s modulmi (node_modules) alebo manipuláciou s poľom bin v súbore package.json (cesty s „/../“ boli povolené v poli koša).

Zdroj: opennet.ru