Paketni o'rnatish vaqtida o'zboshimchalik bilan fayllarni o'zgartirishga imkon beruvchi NPMdagi zaiflik

Node.js tarqatilishiga kiritilgan va JavaScript tilida modullarni tarqatishda foydalaniladigan NPM 6.13.4 paket menejerining yangilanishida, bartaraf etildi uchta zaiflik (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), bu tajovuzkor tomonidan tayyorlangan paketni o'rnatishda o'zboshimchalik bilan tizim fayllarini o'zgartirish yoki ustiga yozish imkonini beradi. Himoya uchun vaqtinchalik yechim sifatida siz uni “-ignore-scripts” opsiyasi bilan o'rnatishingiz mumkin, bu esa o'rnatilgan ishlov beruvchilar paketlarini bajarishni taqiqlaydi. NPM ishlab chiquvchilari omborda mavjud bo'lgan paketlarni tahlil qilishdi va hujumlarni amalga oshirish uchun foydalanilgan aniqlangan muammolarning izlarini topmadilar.

CVE-2019-16777 proyavlyaetsya 6.13.4 dan oldingi versiyalarda va global paketlarni o'rnatish vaqtida tizim bajariladigan fayllarni qayta yozish imkonini beradi. Siz faqat bajariladigan fayllar o'rnatilgan maqsadli katalogdagi fayllarni almashtirishingiz mumkin (odatda /usr/local/bin).

CVE-2019-16775 и CVE-2019-16776 6.13.3 dan oldingi versiyalarda paydo bo'ladi va modulli (node_modules) katalogdan tashqaridagi fayllarga ramziy havola yaratish yoki package.json ichidagi bin maydonini boshqarish orqali o'zboshimchalik bilan fayl yozish imkonini beradi (“/../” bilan yo'llar edi). bin maydonida ruxsat berilgan).

Manba: opennet.ru