ProHoster > Blog > tin tức mạng > Lỗ hổng trong NPM cho phép sửa đổi các tệp tùy ý trong quá trình cài đặt gói
Lỗ hổng trong NPM cho phép sửa đổi các tệp tùy ý trong quá trình cài đặt gói
Trong bản cập nhật của trình quản lý gói NPM 6.13.4, được bao gồm trong bản phân phối Node.js và được sử dụng để phân phối các mô-đun bằng ngôn ngữ JavaScript, ba lỗ hổng (, и ), cho phép sửa đổi hoặc ghi đè các tệp hệ thống tùy ý khi cài đặt gói do kẻ tấn công chuẩn bị. Để giải quyết vấn đề bảo vệ, bạn có thể cài đặt nó bằng tùy chọn “-ignore-scripts”, tùy chọn này cấm thực thi các gói xử lý tích hợp sẵn. Các nhà phát triển NPM đã phân tích các gói có sẵn trong kho lưu trữ và không tìm thấy dấu vết nào của các vấn đề đã xác định đang được sử dụng để thực hiện các cuộc tấn công.
CVE-2019-16777 trong các bản phát hành trước 6.13.4 và cho phép bạn ghi đè các tệp thực thi của hệ thống trong quá trình cài đặt gói chung. Bạn chỉ có thể thay thế các tệp trong thư mục đích nơi cài đặt các tệp thực thi (thường là /usr/local/bin).
и xuất hiện trong các bản phát hành trước phiên bản 6.13.3 và cho phép bạn ghi một tệp tùy ý bằng cách tạo một liên kết tượng trưng đến các tệp bên ngoài thư mục bằng các mô-đun (node_modules) hoặc bằng cách thao tác trường bin trong pack.json (các đường dẫn có “/../” là được phép trong trường thùng rác).
Chúng tôi sử dụng các tập tin. CookieĐể đảm bảo trải nghiệm tốt nhất trên trang web của chúng tôi. Bằng cách tiếp tục sử dụng trang web, bạn đồng ý với chính sách bảo mật của chúng tôi.Hồi giáo
Mua dịch vụ lưu trữ đáng tin cậy cho các trang web có bảo vệ DDoS, máy chủ VPS VDS🔥 Mua dịch vụ hosting website đáng tin cậy với bảo vệ DDoS, máy chủ VPS VDS | ProHoster
