Ailagbara ni NPM ti o fun laaye awọn faili lainidii lati yipada lakoko fifi sori ẹrọ package

Ninu imudojuiwọn ti oluṣakoso package NPM 6.13.4, ti o wa ninu pinpin Node.js ati lo lati pin kaakiri awọn modulu ni ede JavaScript, imukuro awọn ailagbara mẹta (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), eyiti ngbanilaaye awọn faili eto lainidii lati yipada tabi kọkọ nigba fifi package ti a pese silẹ nipasẹ ikọlu. Gẹgẹbi iṣẹ-ṣiṣe fun aabo, o le fi sii pẹlu aṣayan “-ignore-scripts”, eyiti o ṣe idiwọ ipaniyan ti awọn idii olutọju ti a ṣe sinu. Awọn olupilẹṣẹ NPM ṣe atupale awọn idii ti o wa ninu ibi-ipamọ ko si rii awọn itọpa ti awọn iṣoro idanimọ ti a lo lati ṣe awọn ikọlu.

CVE-2019-16777 pроявляется ni awọn idasilẹ ṣaaju si 6.13.4 ati pe o fun ọ laaye lati kọ awọn faili ṣiṣe eto lakoko fifi sori ẹrọ ni agbaye. O le rọpo awọn faili nikan ni itọsọna ibi-afẹde nibiti a ti fi awọn faili ṣiṣe ṣiṣẹ (nigbagbogbo / usr / agbegbe / bin).

CVE-2019-16775 и CVE-2019-16776 han ninu awọn idasilẹ ṣaaju 6.13.3 ati gba ọ laaye lati kọ faili lainidii nipa ṣiṣẹda ọna asopọ aami si awọn faili ni ita itọsọna pẹlu awọn modulu (node_modules) tabi nipa ifọwọyi aaye bin ni package.json (awọn ọna pẹlu “/ ../”) laaye ni aaye bin) .

orisun: opennet.ru