NPM-n hiru ahultasun aurkitu dira, NPM 6.13.4-n konponduta daudenak

Garatzaileak proiektuaren arduradunak NPM pakete kudeatzailetik, kaleratua duela gutxi kaleratu da NPM 6.13.4 eguneratze zuzentzailea Node.js bidalketan sartu eta JavaScript moduluak banatzeko erabiltzen da.

Kudeatzailearen bertsio zuzentzaile berri hau zen abian jarri zen hiru ahultasun konpontzeko erasotzaile batek prestatutako paketea instalatzerakoan sistema fitxategi arbitrarioak aldatzea edo gainidaztea ahalbidetzen dutenak.

CVE-2019-16775

Ahultasun hori NPM CLI bertsioei eragiten die 6.13.3 baino lehen, ondo zaude arriskutsuak dira fitxategi arbitrarioen idazkeraren aurrean. Paketeek karpetatik kanpoko fitxategietarako esteka sinbolikoak sor ditzakete nodo_moduluak zakarrontzia eremuan barrena instalatu ondoren.

Bin package.json eremuan behar bezala eraikitako sarrera pakete editoreak fitxategi arbitrarioetara zuzendutako esteka sinbolikoa sortzeko aukera emango luke erabiltzailearen sisteman paketea instalatuta dagoenean. Jokabide hori posible da instalazio scripten bidez.

CVE-2019-16776

Ahultasun horretan 6.13.3 baino lehenagoko NPM CLI bertsioek fitxategi idazketa arbitrarioak eragiten dituzte. Ezin duzu node_modules karpetatik kanpoko karpetetara sarbidea galarazi bin ontziaren bidez.

Bin package.json eremuan behar bezala eraikitako sarrera batek pakete editorea erabiltzaile baten sistemako fitxategi arbitrarioak aldatu eta sartzeko aukera emango luke paketea instalatuta dagoenean. Jokabide hori posible da instalazio scripten bidez.

"/../" duten bideak ontzi eremuan onartzen ziren

CVE-2019-16777

Azkenik, NPM CLI bertsioak 6.13.4 baino lehenagokoak dira zaurgarritasun horretan fitxategi arbitrario bat gainidatzi. Ezin dituzun beste binarioei globalki instalatutako binarioak gainidaztea eragotzi.

Adib pakete bat mundu osoan instalatu eta zerbitzu bitar bat sortu bada, ondorengo edozein instalazio zerbitzu bitarra ere sortzen duten paketeak zerbitzu bitar zaharra gainidatziko du. Jokabide hori instalazio lokaletan eta instalazio scripten bidez ere onartzen da.

Fitxategi exekutagarriak instalatuta dauden helmugako direktorioko fitxategiak soilik ordezka ditzakezu (normalean / usr, / local, / bin).

Ahultasun horien faktore garrantzitsu bat izan arren akats horiek ustiatu nahi dituenari biktimak bereziki diseinatutako ontzi sarrera instalatu beharko lioke. Hala ere, iraganean ikusi dugun moduan, hori ez da hesi gaindiezina.

Npm, Inc. enpresako segurtasun taldea erregistroko azterketa egiten ari da eraso honen adibideak aurkitzeko, eta ez du erregistroan argitaratutako paketerik aurkitu esplotazio honekin. Horrek ez du ziurtatzen ez dela erabili, baina esan nahi du gaur egun ez dela erabiltzen erregistroan argitaratutako paketeetan.

Aktore txarrek ahultasun hori etorkizunean ustiatzea saihesteko urratsak egiten eta kontrolatzen jarraituko dugu. Hala ere, ezin ditugu npm paketeentzako iturri posible guztiak eskaneatu (erregistro pribatuak, ispiluak, git biltegiak, etab.), Beraz, garrantzitsua da lehenbailehen eguneratzea.

Arazoak konpontzea

Irtenbide nagusia den aldetik, gomendatzen da bertsio zuzentzaile berrira eguneratzea, NPM v6.13.3 bertsioan erabiltzen ari diren package.json liburutegiak aztertzea liburutegiko eremuko sarrera guztiak saneatzeko eta baliozkotzeko moduan eguneratuko baitira aurrerapena kentzeko. barra-hasierak, ibilbide-sarrerak eta beste bide-ihesak, Node.js.-n integratutako ibilbide-tresna oso probatua eta fidagarria da.

Hala ere, irtenbide gisa, aukerarekin instalatu daiteke –Ikusi-gidoiak, kontrolatzaile pakete integratuak exekutatzea debekatzen duena.

Aurrerago egin gabe, akatsei buruz gehiago jakin nahi baduzu, xehetasunak npm blogean kontsultatu ditzakezu Hurrengo estekan.

Azkenean, bertsio berria instalatu nahi dutenentzat, bide ofizialetatik edo iturburu kodetik biltzea aukeratuz egin dezakete. Horretarako, jarraibideak jarrai ditzakezu honako esteka.

 


Artikuluaren edukia gure printzipioekin bat dator etika editoriala. Akats baten berri emateko egin klik hemen.

Idatzi lehenengo iruzkina

Utzi zure iruzkina

Zure helbide elektronikoa ez da argitaratuko. Beharrezko eremuak markatuta daude *

*

*

  1. Datuen arduraduna: Miguel Ángel Gatón
  2. Datuen xedea: SPAM kontrolatzea, iruzkinen kudeaketa.
  3. Legitimazioa: Zure baimena
  4. Datuen komunikazioa: datuak ez zaizkie hirugarrenei jakinaraziko legezko betebeharrez izan ezik.
  5. Datuak biltegiratzea: Occentus Networks-ek (EB) ostatatutako datu-basea
  6. Eskubideak: Edonoiz zure informazioa mugatu, berreskuratu eta ezabatu dezakezu.