ProHoster > 博客 > 网络新闻 > NPM 中的漏洞允许在软件包安装过程中修改任意文件

NPM 中的漏洞允许在软件包安装过程中修改任意文件

在 NPM 6.13.4 包管理器的更新中,包含在 Node.js 发行版中并用于分发 JavaScript 语言的模块, 被淘汰 三个漏洞(CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777),这允许在安装攻击者准备的软件包时修改或覆盖任意系统文件。 作为保护的解决方法,您可以使用“-ignore-scripts”选项安装它,该选项禁止执行内置处理程序包。 NPM 开发人员分析了存储库中可用的软件包,没有发现任何已识别问题被用来进行攻击的痕迹。

  • CVE-2019-16777 表现出来 在 6.13.4 之前的版本中,允许您在全局包安装期间覆盖系统可执行文件。 您只能替换安装可执行文件的目标目录(通常是/usr/local/bin)中的文件。
  • CVE-2019-16775 и CVE-2019-16776 出现在 6.13.3 之前的版本中,允许您通过使用模块 (node_modules) 创建到目录外部文件的符号链接或通过操作 package.json 中的 bin 字段(带有“/../”的路径)来编写任意文件允许在 bin 字段中)。

    来源: opennet.ru

    • 为具有 DDoS 保护、VPS VDS 服务器的站点购买可靠的主机 🔥 购买具备 DDoS 防护的可靠网站托管服务,包括 VPS 和 VDS 服务器 | ProHoster