Dobësi në NPM që lejon skedarët arbitrar të modifikohen gjatë instalimit të paketës

Në përditësimin e menaxherit të paketave NPM 6.13.4, i përfshirë në shpërndarjen Node.js dhe përdoret për të shpërndarë module në gjuhën JavaScript, eliminohet tre dobësi (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), i cili lejon që skedarët arbitrar të sistemit të modifikohen ose mbishkruhen kur instaloni një paketë të përgatitur nga një sulmues. Si një zgjidhje për mbrojtjen, mund ta instaloni atë me opsionin "-ignore-scripts", i cili ndalon ekzekutimin e paketave të integruara të mbajtësve. Zhvilluesit e NPM analizuan paketat e disponueshme në depo dhe nuk gjetën gjurmë të problemeve të identifikuara që përdoreshin për të kryer sulme.

CVE-2019-16777 proявляется në versionet para 6.13.4 dhe ju lejon të mbishkruani skedarët e ekzekutueshëm të sistemit gjatë instalimit të paketës globale. Ju mund të zëvendësoni skedarët vetëm në direktorinë e synuar ku janë instaluar skedarët e ekzekutueshëm (zakonisht /usr/local/bin).

CVE-2019-16775 и CVE-2019-16776 shfaqen në versionet para 6.13.3 dhe ju lejojnë të shkruani një skedar arbitrar duke krijuar një lidhje simbolike me skedarët jashtë drejtorisë me module (node_modules) ose duke manipuluar fushën bin në package.json (shtigjet me "/../" ishin lejohet në fushën e koshit) .

Burimi: opennet.ru