Kerentanan dina NPM anu ngamungkinkeun file sawenang-wenang dirobih nalika pamasangan pakét

Dina apdet manajer pakét NPM 6.13.4, kalebet dina distribusi Node.js sareng dianggo pikeun ngadistribusikaeun modul dina basa JavaScript, ngaleungitkeun tilu kerentanan (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), anu ngamungkinkeun file sistem sawenang-wenang dirobih atanapi ditimpa nalika masang pakét anu disiapkeun ku panyerang. Salaku workaround pikeun panangtayungan, anjeun tiasa install deui kalawan pilihan "-ignore-scripts", nu prohibits palaksanaan diwangun-di bungkusan Handler. Pamekar NPM nganalisa bungkusan anu aya dina gudang sareng henteu mendakan ngambah masalah anu diidentifikasi anu dianggo pikeun ngalaksanakeun serangan.

CVE-2019-16777 nembongan dina release saméméh 6.13.4 sarta ngidinan Anjeun pikeun nimpa file laksana sistem salila instalasi pakét global. Anjeun ngan ukur tiasa ngagentos file dina diréktori target dimana file anu tiasa dieksekusi dipasang (biasana /usr/local/bin).

CVE-2019-16775 и CVE-2019-16776 némbongan dina release saméméh 6.13.3 sarta ngidinan Anjeun pikeun nulis hiji file sawenang ku nyieun tumbu simbolis ka file luar diréktori kalawan modul (node_modules) atawa ku manipulasi widang bin di package.json (jalur jeung "/../" éta beunang di lapang bin).

sumber: opennet.ru