NPM میں کمزوری جو پیکج کی تنصیب کے دوران صوابدیدی فائلوں میں ترمیم کرنے کی اجازت دیتی ہے۔

NPM 6.13.4 پیکیج مینیجر کی تازہ کاری میں، جو Node.js ڈسٹری بیوشن میں شامل ہے اور جاوا اسکرپٹ زبان میں ماڈیولز کو تقسیم کرنے کے لیے استعمال کیا جاتا ہے، ختم کر دیا تین کمزوریاں (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777)، جو حملہ آور کے تیار کردہ پیکیج کو انسٹال کرتے وقت صوابدیدی سسٹم فائلوں میں ترمیم یا اوور رائٹ کرنے کی اجازت دیتا ہے۔ تحفظ کے لیے ایک حل کے طور پر، آپ اسے "-ignore-scripts" آپشن کے ساتھ انسٹال کر سکتے ہیں، جو بلٹ ان ہینڈلر پیکجوں پر عمل درآمد کو روکتا ہے۔ NPM ڈویلپرز نے ریپوزٹری میں دستیاب پیکجوں کا تجزیہ کیا اور انہیں شناخت شدہ مسائل کا کوئی نشان نہیں ملا جو حملے کرنے کے لیے استعمال کیے جا رہے تھے۔

CVE-2019-16777 خود ہی ظاہر ہوتا ہے 6.13.4 سے پہلے کی ریلیز میں اور آپ کو عالمی پیکیج کی تنصیب کے دوران سسٹم کے قابل عمل فائلوں کو اوور رائٹ کرنے کی اجازت دیتا ہے۔ آپ صرف ٹارگٹ ڈائرکٹری میں فائلوں کو بدل سکتے ہیں جہاں قابل عمل فائلیں انسٹال ہوتی ہیں (عام طور پر /usr/local/bin)۔

CVE-2019-16775 и CVE-2019-16776 6.13.3 سے پہلے کی ریلیز میں ظاہر ہوتا ہے اور آپ کو ماڈیولز (node_modules) والی ڈائرکٹری سے باہر فائلوں کے لیے علامتی لنک بنا کر یا package.json میں بن فیلڈ کو جوڑ کر ("/../" والے راستے لکھنے کی اجازت دیتے ہیں۔ بن فیلڈ میں اجازت ہے)۔

ماخذ: opennet.ru