Рањивост у НПМ-у која омогућава модификовање произвољних датотека током инсталације пакета

У ажурирању менаџера пакета НПМ 6.13.4, који је укључен у дистрибуцију Ноде.јс и који се користи за дистрибуцију модула на ЈаваСцрипт језику, елиминисан три рањивости (ЦВЕ-КСНУМКС-КСНУМКС, ЦВЕ-КСНУМКС-КСНУМКС и ЦВЕ-КСНУМКС-КСНУМКС), који омогућава да се произвољни системски фајлови модификују или преписују приликом инсталирања пакета који је припремио нападач. Као решење за заштиту, можете га инсталирати са опцијом „-игноре-сцриптс“, која забрањује извршавање уграђених пакета за руковање. НПМ програмери су анализирали пакете доступне у спремишту и нису пронашли трагове идентификованих проблема који су коришћени за извођење напада.

ЦВЕ-КСНУМКС-КСНУМКС појављује се у издањима пре 6.13.4 и омогућава вам да препишете извршне датотеке система током глобалне инсталације пакета. Можете заменити датотеке само у циљном директоријуму где су инсталиране извршне датотеке (обично /уср/лоцал/бин).

ЦВЕ-КСНУМКС-КСНУМКС и ЦВЕ-КСНУМКС-КСНУМКС појављују се у издањима пре 6.13.3 и омогућавају вам да напишете произвољну датотеку тако што ћете креирати симболичку везу ка датотекама изван директоријума са модулима (ноде_модулес) или манипулисањем пољем бин у пацкаге.јсон (путања са „/../” су дозвољено у пољу за смеће) .

Извор: опеннет.ру