els desenvolupadors que estan a càrrec de el projecte de l'administrador de paquets NPM, van donar a conèixer fa poc l'alliberament de una actualització correctiva de NPM 6.13.4 inclosa en el lliurament de NODE.JS i utilitzada per distribuir mòduls JavaScript.
Aquesta nova versió correctiva de l'gestor va ser llançada amb la finalitat d'arribar a solucionar tres vulnerabilitats que permeten modificar o sobreescriure els arxius arbitraris de sistema a l'instal·lar un paquet preparat per un atacant.
CVE-2019-16775
aquesta vulnerabilitat afecta les versions de NPM CLI anteriors a 6.13.3, doncs aquestes són vulnerables a una escriptura d'arxiu arbitrari. És possible que els paquets creuen enllaços simbòlics a arxius fora de la carpeta mòduls_node a través del camp bin després de la instal·lació.
Una entrada construïda correctament en el camp bin package.json permetria a un editor de paquets crear un enllaç simbòlic que apunta a arxius arbitraris en el sistema d'un usuari quan s'instal·la el paquet. Aquest comportament encara és possible mitjançant scripts d'instal·lació.
CVE-2019-16776
En aquesta vulnerabilitat les versions de NPM CLI anteriors a 6.13.3 són afectades a una escriptura d'arxiu arbitrari. Ja que no es pot evitar l'accés a les carpetes fora de la carpeta node_modules prevista a través de el camp bin.
Una entrada construïda correctament en el camp bin package.json permetria a un editor de paquets modificar i accedir a arxius arbitraris en el sistema d'un usuari quan s'instal·la el paquet. Aquest comportament encara és possible mitjançant scripts d'instal·lació.
En el camp bin es van permetre rutes amb «/../»
CVE-2019-16777
Finalment, en aquesta vulnerabilitat les versions de NPM CLI anteriors a 6.13.4 són vulnerables a una sobreescriptura d'arxius arbitraris. Ja que no pot evitar que altres binaris sobreescriguin els binaris existents instal·lats globalment.
Per exemple, si un paquet es va instal·lar globalment i va crear un binari de servei, qualsevol instal·lació posterior de paquets que també creïn un binari de servei sobreescriurà el binari de servei anterior. Aquest comportament encara es permet en instal·lacions locals i també a través de scripts d'instal·lació.
Només pot reemplaçar arxius en el directori de destinació on estan instal·lats els arxius executables (generalment / usr, / local, / bin).
Tot i que un factor important per a aquestes vulnerabilitats és que la persona que vol aprofitar aquests errors hauria de fer que la seva víctima instal·lar el paquet amb l'entrada bin especialment dissenyada. No obstant això, com hem vist en el passat, aquesta no és una barrera insuperable.
L'equip de seguretat de NPM, Inc ha estat escanejant el registre a la recerca d'exemples d'aquest atac, i no ha trobat cap paquet publicat en el registre amb aquest exploit. Això no garanteix que no s'hagi utilitzat, però sí vol dir que actualment no s'està utilitzant en paquets publicats al registre.
Continuarem monitoritzant i prendrem mesures per evitar que els mals actors explotin aquesta vulnerabilitat en el futur. No obstant això, no podem escanejar totes les fonts possibles de paquets NPM (registres privats, miralls, repositoris git, etc.), pel que és important actualitzar el més aviat possible.
Solució a les fallades
Com a principal solució, es recomana que s'actualitzi a la nova versió correctiva ja que les biblioteques d'anàlisi package.json a ús en NPM v6.13.3 es van actualitzar de manera que desinfectarían i validarien totes les entrades al camp bin per eliminar les barres inclinades inicials, entrades de ruta, i altres mitjans d'escapament de ruta, utilitzant la utilitat de ruta ben provada i altament fiable integrada en Node.js.
Encara que, com a solució alternativa, es pot instal·lar amb l'opció -ignore-scripts, Que prohibeix l'execució de paquets de controladors integrats.
Sense més, si vols conèixer més a l'respecte sobre les fallades, pots consultar els detalls a la publicació de l'bloc de NPM en el següent enllaç.
Finalment, per als que vulguin instal·lar la nova versió, podran fer-ho des dels canals oficials o optant per realitzar la compilació des de la seva codi font. Per a això poden seguir les instruccions en el següent enllaç.