Вразливість у NPM, що дозволяє змінити довільні файли під час встановлення пакета

У оновленні пакетного менеджера NPM 6.13.4, що входить у поставку Node.js і використовується для поширення модулів на мові JavaScript, усунені три вразливості (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), що дозволяють модифікувати або перезаписати довільні системні файли під час встановлення пакета, підготовленого зловмисником. Як обхідний шлях захисту може бути установка з опцією «-ignore-scripts», що забороняє виконання вбудованих пакетів обробників. Розробники NPM проаналізували наявні в репозиторії пакети і не знайшли слідів використання виявлених проблем для атак.

CVE-2019-16777 проявляється у випусках до 6.13.4 і дозволяє перезаписати системні файли, що виконуються в процесі глобальної установки пакета. Підмінити можна лише файли в цільовому каталозі, куди встановлюються файли, що виконуються (зазвичай /usr/local/bin).

CVE-2019-16775 и CVE-2019-16776 виявляються у випусках до 6.13.3 та дозволяють записати довільний файл через створення символічного посилання на файли поза каталогом з модулями (node_modules) або через маніпуляції з полем bin у package.json (у полі bin допускалося використання шляхів з «/../») .

Джерело: opennet.ru