தொகுப்பு நிறுவலின் போது தன்னிச்சையான கோப்புகளை மாற்ற அனுமதிக்கும் NPM இல் உள்ள பாதிப்பு

NPM 6.13.4 தொகுப்பு மேலாளரின் புதுப்பிப்பில், Node.js விநியோகத்தில் சேர்க்கப்பட்டுள்ளது மற்றும் JavaScript மொழியில் தொகுதிகளை விநியோகிக்கப் பயன்படுகிறது, நீக்கப்பட்டது மூன்று பாதிப்புகள் (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), இது தாக்குபவரால் தயாரிக்கப்பட்ட தொகுப்பை நிறுவும் போது தன்னிச்சையான கணினி கோப்புகளை மாற்றியமைக்க அல்லது மேலெழுத அனுமதிக்கிறது. பாதுகாப்பிற்கான ஒரு தீர்வாக, நீங்கள் அதை "-ignore-scripts" விருப்பத்துடன் நிறுவலாம், இது உள்ளமைக்கப்பட்ட கையாளுதல் தொகுப்புகளை செயல்படுத்துவதை தடை செய்கிறது. NPM டெவலப்பர்கள் களஞ்சியத்தில் உள்ள தொகுப்புகளை ஆய்வு செய்தனர் மற்றும் தாக்குதல்களை மேற்கொள்ள பயன்படுத்தப்பட்ட அடையாளம் காணப்பட்ட சிக்கல்களின் தடயங்கள் எதுவும் இல்லை.

CVE-2019-16777 வெளிப்படுத்தப்படுகிறது 6.13.4 க்கு முந்தைய வெளியீடுகளில் மற்றும் உலகளாவிய தொகுப்பு நிறுவலின் போது கணினி இயங்கக்கூடிய கோப்புகளை மேலெழுத உங்களை அனுமதிக்கிறது. இயக்கக்கூடிய கோப்புகள் நிறுவப்பட்ட இலக்கு கோப்பகத்தில் மட்டுமே நீங்கள் கோப்புகளை மாற்ற முடியும் (பொதுவாக /usr/local/bin).

CVE-2019-16775 и CVE-2019-16776 6.13.3 க்கு முன் வெளியான வெளியீடுகளில் தோன்றும் மற்றும் கோப்பகத்திற்கு வெளியே தொகுதிகள் (node_modules) கொண்ட கோப்புகளுக்கு குறியீட்டு இணைப்பை உருவாக்குவதன் மூலம் அல்லது pack.json இல் பின் புலத்தை கையாளுவதன் மூலம் ஒரு தன்னிச்சையான கோப்பை எழுத உங்களை அனுமதிக்கிறது (“/../” உடன் பாதைகள் தொட்டி துறையில் அனுமதிக்கப்படுகிறது) .

ஆதாரம்: opennet.ru