Lỗ hổng trong NPM cho phép sửa đổi các tệp tùy ý trong quá trình cài đặt gói

Trong bản cập nhật của trình quản lý gói NPM 6.13.4, được bao gồm trong bản phân phối Node.js và được sử dụng để phân phối các mô-đun bằng ngôn ngữ JavaScript, loại bỏ ba lỗ hổng (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), cho phép sửa đổi hoặc ghi đè các tệp hệ thống tùy ý khi cài đặt gói do kẻ tấn công chuẩn bị. Để giải quyết vấn đề bảo vệ, bạn có thể cài đặt nó bằng tùy chọn “-ignore-scripts”, tùy chọn này cấm thực thi các gói xử lý tích hợp sẵn. Các nhà phát triển NPM đã phân tích các gói có sẵn trong kho lưu trữ và không tìm thấy dấu vết nào của các vấn đề đã xác định đang được sử dụng để thực hiện các cuộc tấn công.

CVE-2019-16777 biểu lộ trong các bản phát hành trước 6.13.4 và cho phép bạn ghi đè các tệp thực thi của hệ thống trong quá trình cài đặt gói chung. Bạn chỉ có thể thay thế các tệp trong thư mục đích nơi cài đặt các tệp thực thi (thường là /usr/local/bin).

CVE-2019-16775 и CVE-2019-16776 xuất hiện trong các bản phát hành trước phiên bản 6.13.3 và cho phép bạn ghi một tệp tùy ý bằng cách tạo một liên kết tượng trưng đến các tệp bên ngoài thư mục bằng các mô-đun (node_modules) hoặc bằng cách thao tác trường bin trong pack.json (các đường dẫn có “/../” là được phép trong trường thùng rác).

Nguồn: opennet.ru