Chaidh trì so-leòntachd a lorg ann an NPM, a tha stèidhichte ann an NPM 6.13.4

Luchd-leasachaidh a tha os cionn a ’phròiseict bho mhanaidsear pacaid NPM, air a leigeil ma sgaoil a leigeil ma sgaoil o chionn ghoirid ùrachadh ceartachaidh air NPM 6.13.4 air a ghabhail a-steach ann an lìbhrigeadh Node.js agus air a chleachdadh gus modalan JavaScript a sgaoileadh.

Bha an dreach ceartachaidh ùr seo den mhanaidsear air a chuir air bhog gus fuasgladh fhaighinn air trì so-leòntachd a leigeas le faidhlichean siostam rèiteachaidh atharrachadh no sgrìobhadh thairis nuair a stàlaicheas tu pasgan a dh ’ullaich neach-ionnsaigh.

CVE-2019-16775

An so-leòntachd seo a ’toirt buaidh air dreachan NPM CLI ro 6.13.3, uill tha thu tha iad so-leònte ri sgrìobhadh faidhle neo-riaghailteach. Faodaidh pacaidean ceanglaichean samhlachail a chruthachadh ri faidhlichean taobh a-muigh am pasgan nód_modalan tron raon bin às deidh an stàladh.

Inntrigeadh air a thogail gu ceart anns an raon bin package.json leigeadh le neach-deasachaidh pacaid ceangal samhlachail a chruthachadh a ’comharrachadh faidhlichean rèiteachaidh air siostam neach-cleachdaidh nuair a thèid am pasgan a chuir a-steach. Tha an giùlan seo fhathast comasach tro sgriobtaichean stàlaidh.

CVE-2019-16776

Anns an so-leòntachd seo tha an Tha buaidh aig sgrìobhadh faidhle neo-riaghailteach air dreachan NPM CLI ro 6.13.3. Leis nach urrainn dhut casg a chuir air ruigsinneachd gu pasganan taobh a-muigh am pasgan node_modules a tha san amharc tron ​​raon bin.

Bheireadh inntrigeadh a chaidh a thogail gu ceart ann an raon bin package.json cothrom do neach-deasachaidh pacaid faidhlichean rèiteachaidh atharrachadh agus faighinn gu siostam cleachdaiche nuair a thèid am pasgan a chuir a-steach. Tha an giùlan seo fhathast comasach tro sgriobtaichean stàlaidh.

Chaidh slighean le "/../" a cheadachadh ann an raon a ’bhine

CVE-2019-16777

Mu dheireadh, Tha dreachan NPM CLI ro 6.13.4 so-leònte san so-leòntachd seo gu faidhle neo-riaghailteach a ’dol thairis air. Leis nach urrainn dhut casg a chuir air binaries eile bho bhith a ’sgrìobhadh thairis binaries a tha air an stàladh air feadh na cruinne.

Mar eisimpleir, ma chaidh pasgan a chuir a-steach air feadh na cruinne agus cruthaich e binary seirbheis, stàladh sam bith às deidh sin pacaidean a chruthaicheas binary seirbheis cuideachd bheir e thairis an seann sheirbheis binary. Tha an giùlan seo fhathast ceadaichte air ionadan ionadail agus cuideachd tro sgriobtaichean stàlaidh.

Chan urrainn dhut ach faidhlichean a chur an àite an eòlaire cinn-uidhe far a bheil na faidhlichean so-ghnìomhaichte air an stàladh (mar as trice / usr, / ionadail, / bin).

Ged a tha e na fheart cudromach airson na so-leòntachd sin gum feumadh an neach a tha ag iarraidh brath a ghabhail air na lochdan sin an neach-fulang aige a bhith a ’stàladh a’ phacaid leis an inntrig bin a chaidh a dhealbhadh gu sònraichte. Ach, mar a chunnaic sinn roimhe seo, chan eil seo na chnap-starra do-sheachanta.

Tha an sgioba tèarainteachd aig npm, Inc. air a bhith a ’sganadh a’ chlàraidh airson eisimpleirean den ionnsaigh seo, agus cha do lorg iad pasganan sam bith a chaidh fhoillseachadh sa chlàr leis a ’bhuannachd seo. Chan eil sin a ’gealltainn nach deach a chleachdadh, ach tha e a’ ciallachadh nach eilear ga chleachdadh an-dràsta ann am pasganan a chaidh fhoillseachadh sa chlàr.

Leanaidh sinn oirnn a ’cumail sùil air agus a’ gabhail ceumannan gus casg a chuir air droch chleasaichean bho bhith a ’gabhail brath air an so-leòntachd seo san àm ri teachd. Ach, chan urrainn dhuinn sgrùdadh a dhèanamh air a h-uile stòr a dh ’fhaodadh a bhith ann airson pacaidean npm (clàran prìobhaideach, sgàthan, stòran git, msaa), agus mar sin tha e cudromach ùrachadh cho luath‘ s a ghabhas.

A ’dèanamh trioblaid

Mar a ’phrìomh fhuasgladh, thathas a’ moladh gun dèan thu ùrachadh chun dreach ceartachaidh ùr oir chaidh na leabharlannan parsaidh package.json a bha gan cleachdadh ann an NPM v6.13.3 ùrachadh ann an dòigh a bhiodh a ’glanadh agus a’ dearbhadh gach inntrigeadh ann an raon a ’bhiona gus an toirt air adhart slashes litrichean tòiseachaidh, slighean slighe, agus dòighean eile air teicheadh ​​slighe, a ’cleachdadh a’ ghoireas slighe earbsach agus earbsach a chaidh a thogail a-steach do Node.js.

Ged, mar dhòigh-obrach, faodar a chuir a-steach leis an roghainn –Ignore-scripts, a tha a ’toirmeasg ruith pacaidean draibhearan togte.

Às aonais tuilleadh ado, ma tha thu airson tuilleadh fhaighinn a-mach mu na mialan, faodaidh tu sgrùdadh a dhèanamh air mion-fhiosrachadh anns a ’phost blog npm Anns a ’cheangal a leanas.

Mu dheireadh, dhaibhsan a tha airson an dreach ùr a chuir a-steach, faodaidh iad sin a dhèanamh bho shianalan oifigeil no le bhith a ’taghadh cur ri chèile bhon chòd stòr. Airson seo faodaidh tu an stiùireadh a leantainn a-steach an ceangal a leanas.

 


Tha susbaint an artaigil a ’cumail ri na prionnsapalan againn de moraltachd deasachaidh. Gus aithris a dhèanamh air mearachd cliog an seo.

Bi a 'chiad fhear a thog beachd

Fàg do bheachd

Seòladh-d cha tèid fhoillseachadh.

*

*

  1. Uallach airson an dàta: Miguel Ángel Gatón
  2. Adhbhar an dàta: Smachd air SPAM, riaghladh bheachdan.
  3. Dìleab: Do chead
  4. Conaltradh an dàta: Cha tèid an dàta a thoirt do threas phàrtaidhean ach a-mhàin fo dhleastanas laghail.
  5. Stòradh dàta: Stòr-dàta air a chumail le Occentus Networks (EU)
  6. Còraichean: Aig àm sam bith faodaidh tu am fiosrachadh agad a chuingealachadh, fhaighinn air ais agus a dhubhadh às.