Sårbarhet i NPM som gör att godtyckliga filer kan modifieras under paketinstallationen

I uppdateringen av NPM 6.13.4-pakethanteraren, som ingår i Node.js-distributionen och används för att distribuera moduler i JavaScript-språket, utslagen tre sårbarheter (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), vilket gör att godtyckliga systemfiler kan ändras eller skrivas över när ett paket som förberetts av en angripare installeras. Som en lösning för skyddet kan du installera det med alternativet "-ignore-scripts", som förbjuder exekvering av inbyggda hanterarpaket. NPM-utvecklare analyserade de tillgängliga paketen i förvaret och hittade inga spår av de identifierade problemen som användes för att utföra attacker.

CVE-2019-16777 visas i versioner före 6.13.4 och låter dig skriva över systemkörbara filer under global paketinstallation. Du kan bara ersätta filer i målkatalogen där de körbara filerna är installerade (vanligtvis /usr/local/bin).

CVE-2019-16775 и CVE-2019-16776 visas i utgåvor före 6.13.3 och låter dig skriva en godtycklig fil genom att skapa en symbolisk länk till filer utanför katalogen med moduler (node_modules) eller genom att manipulera bin-fältet i package.json (sökvägar med "/../" var tillåtet i papperskorgen).

Källa: opennet.ru