Athari katika NPM ambayo inaruhusu faili zisizo za kawaida kurekebishwa wakati wa usakinishaji wa kifurushi

Katika sasisho la kidhibiti kifurushi cha NPM 6.13.4, kilichojumuishwa katika usambazaji wa Node.js na kutumika kusambaza moduli katika lugha ya JavaScript, kuondolewa udhaifu tatu (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), ambayo inaruhusu faili za mfumo wa kiholela kurekebishwa au kufutwa wakati wa kusakinisha kifurushi kilichoandaliwa na mshambulizi. Kama suluhisho la ulinzi, unaweza kusakinisha kwa chaguo la "-ignore-scripts", ambalo linakataza utekelezwaji wa vidhibiti vilivyojengewa ndani. Wasanidi wa NPM walichanganua vifurushi vinavyopatikana kwenye hifadhi na hawakupata alama zozote za matatizo yaliyotambuliwa yanayotumika kutekeleza mashambulizi.

CVE-2019-16777 tokea katika matoleo kabla ya 6.13.4 na hukuruhusu kubatilisha faili zinazotekelezeka za mfumo wakati wa usakinishaji wa kifurushi cha kimataifa. Unaweza tu kubadilisha faili kwenye saraka inayolengwa ambapo faili zinazoweza kutekelezeka zimesakinishwa (kawaida /usr/local/bin).

CVE-2019-16775 и CVE-2019-16776 kuonekana katika matoleo kabla ya 6.13.3 na kukuruhusu kuandika faili kiholela kwa kuunda kiunga cha mfano kwa faili zilizo nje ya saraka na moduli (node_modules) au kwa kudhibiti uga wa bin katika package.json (njia zilizo na "/../" zilikuwa inaruhusiwa kwenye uwanja wa pipa).

Chanzo: opennet.ru