Vulnerability sa NPM na nagpapahintulot sa mga arbitrary na file na mabago sa panahon ng pag-install ng package

Sa pag-update ng manager ng package ng NPM 6.13.4, kasama sa pamamahagi ng Node.js at ginamit upang ipamahagi ang mga module sa wikang JavaScript, inalis tatlong kahinaan (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), na nagpapahintulot sa mga arbitrary system file na mabago o ma-overwrit kapag nag-i-install ng package na inihanda ng isang attacker. Bilang isang solusyon para sa proteksyon, maaari mo itong i-install gamit ang opsyong "-ignore-scripts", na nagbabawal sa pagpapatupad ng mga built-in na handler package. Sinuri ng mga developer ng NPM ang mga package na available sa repository at walang nakitang bakas ng mga natukoy na problema na ginagamit para magsagawa ng mga pag-atake.

CVE-2019-16777 ay ipinahayag sa mga release bago ang 6.13.4 at nagbibigay-daan sa iyong i-overwrite ang system executable file sa panahon ng global package installation. Maaari mo lamang palitan ang mga file sa target na direktoryo kung saan naka-install ang mga executable na file (karaniwan ay /usr/local/bin).

CVE-2019-16775 и CVE-2019-16776 lalabas sa mga release bago ang 6.13.3 at pinapayagan kang magsulat ng isang arbitrary na file sa pamamagitan ng paglikha ng simbolikong link sa mga file sa labas ng direktoryo na may mga module (node_modules) o sa pamamagitan ng pagmamanipula sa bin field sa package.json (mga landas na may "/../" ay pinapayagan sa larangan ng bin) .

Pinagmulan: opennet.ru