Ranljivost v NPM, ki omogoča spreminjanje poljubnih datotek med namestitvijo paketa

V posodobitvi upravitelja paketov NPM 6.13.4, ki je vključen v distribucijo Node.js in se uporablja za distribucijo modulov v jeziku JavaScript, odpraviti tri ranljivosti (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), ki omogoča spreminjanje ali prepisovanje poljubnih sistemskih datotek pri namestitvi paketa, ki ga je pripravil napadalec. Kot rešitev za zaščito ga lahko namestite z možnostjo »-ignore-scripts«, ki prepoveduje izvajanje vgrajenih paketov za obravnavo. Razvijalci NPM so analizirali pakete, ki so na voljo v repozitoriju, in niso našli nobenih sledi ugotovljenih težav, ki bi bile uporabljene za izvajanje napadov.

CVE-2019-16777 se kaže v izdajah pred 6.13.4 in omogoča prepis sistemskih izvršljivih datotek med namestitvijo globalnega paketa. Zamenjate lahko samo datoteke v ciljnem imeniku, kjer so nameščene izvršljive datoteke (običajno /usr/local/bin).

CVE-2019-16775 и CVE-2019-16776 se pojavljajo v izdajah pred 6.13.3 in vam omogočajo pisanje poljubne datoteke z ustvarjanjem simbolične povezave do datotek zunaj imenika z moduli (node_modules) ali z manipulacijo polja bin v package.json (poti z »/../« so bile dovoljeno v polju koša).

Vir: opennet.ru