וואַלנעראַביליטי אין NPM אַז אַלאַוז אַרביטראַריש טעקעס צו זיין מאַדאַפייד בעשאַס פּעקל ינסטאַלירונג

אין דער דערהייַנטיקן פון די NPM 6.13.4 פּעקל פאַרוואַלטער, אַרייַנגערעכנט אין די Node.js פאַרשפּרייטונג און געניצט צו פאַרשפּרייטן מאַדזשולז אין די דזשאַוואַסקריפּט שפּראַך, ילימאַנייטאַד דריי וואַלנעראַביליטיז (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), וואָס אַלאַוז אַרביטראַריש סיסטעם טעקעס צו זיין מאַדאַפייד אָדער אָוווערריטאַן ווען ינסטאָלינג אַ פּעקל צוגעגרייט דורך אַ אַטאַקער. ווי אַ וואָרקאַראָונד פֿאַר שוץ, איר קענען ינסטאַלירן עס מיט די "-יגנאָרע-סקריפּס" אָפּציע, וואָס פּראָוכיבאַץ די דורכפירונג פון געבויט-אין האַנדלער פּאַקאַדזשאַז. NPM דעוועלאָפּערס אַנאַלייזד די פּאַקאַדזשאַז בנימצא אין די ריפּאַזאַטאָרי און געפונען קיין טראַסעס פון די יידענאַפייד פּראָבלעמס וואָס זענען געניצט צו דורכפירן אנפאלן.

CVE-2019-16777 אויס אין ריליסיז איידער 6.13.4 און אַלאַוז איר צו אָווועררייט סיסטעם עקסעקוטאַבלע טעקעס בעשאַס גלאבאלע פּעקל ינסטאַלירונג. איר קענען בלויז פאַרבייַטן טעקעס אין די ציל וועגווייַזער ווו די עקסעקוטאַבלע טעקעס זענען אינסטאַלירן (יוזשאַוואַלי /usr/local/bin).

CVE-2019-16775 и CVE-2019-16776 דערשייַנען אין ריליסיז איידער 6.13.3 און לאָזן איר צו שרייַבן אַ אַרביטראַריש טעקע דורך קריייטינג אַ סימבאָליש לינק צו טעקעס אַרויס די וועגווייַזער מיט מאַדזשולז (נאָדע_מאָדולעס) אָדער דורך מאַניפּיאַלייטינג די bin field אין package.json (פּאַטס מיט "/../" זענען געווען ערלויבט אין די באַן פעלד).

מקור: opennet.ru