વિકાસકર્તાઓ આ પ્રોજેક્ટનો હવાલો કોણ છે રિલીઝ થયેલ એનપીએમ પેકેજ મેનેજર તરફથી તાજેતરમાં પ્રકાશિત એનપીએમ 6.13.4 માં સુધારાત્મક સુધારા નોડ.જેએસ ડિલિવરીમાં શામેલ છે અને જાવાસ્ક્રિપ્ટ મોડ્યુલોના વિતરણ માટે વપરાય છે.
મેનેજરનું આ નવું સુધારાત્મક સંસ્કરણ હતું ત્રણ નબળાઈઓને હલ કરવા માટે શરૂ કર્યું જે કોઈ હુમલાખોર દ્વારા તૈયાર પેકેજ સ્થાપિત કરતી વખતે મનસ્વી સિસ્ટમ ફાઇલોને સંશોધિત અથવા ફરીથી લખાવાની મંજૂરી આપે છે.
CVE-2019-16775
આ નબળાઈ .6.13.3.૧ to. to પહેલાના એન.પી.એમ. સી.એલ.ઈ. આવૃત્તિઓને અસર કરે છે. તમે સારા છો તેઓ મનસ્વી ફાઇલ લેખન માટે સંવેદનશીલ છે. પેકેજો ફોલ્ડરની બહારની ફાઇલો માટે સાંકેતિક લિંક્સ બનાવી શકે છે નોડ_મોડ્યુલ્સ સ્થાપન પછી બિન ક્ષેત્ર દ્વારા.
બિન પેકેજ.જસન ક્ષેત્રમાં યોગ્ય રીતે બાંધવામાં આવેલ એન્ટ્રી પેકેજ સંપાદકને મનસ્વી ફાઇલો તરફ નિર્દેશિત કરતી એક પ્રતીકાત્મક લિંક બનાવવાની મંજૂરી આપશે જ્યારે પેકેજ ઇન્સ્ટોલ કરેલું હોય ત્યારે વપરાશકર્તાની સિસ્ટમ પર. આ વર્તણૂક હજી પણ સ્થાપન સ્ક્રિપ્ટો દ્વારા શક્ય છે.
CVE-2019-16776
આ નબળાઈ માં P.૧6.13.3..XNUMX પહેલાના એન.પી.એમ. સી.એલ.ઈ. આવૃત્તિઓ મનસ્વી ફાઇલ લેખનથી પ્રભાવિત થાય છે. તમે બિન ક્ષેત્ર દ્વારા નોડ_મોડ્યુલ્સ ફોલ્ડરની બહારના ફોલ્ડર્સની preventક્સેસને રોકી શકતા નથી.
બિન પેકેજ.જસન ક્ષેત્રમાં યોગ્ય રીતે નિર્માણ થયેલ પ્રવેશ પેકેજ ઇન્સ્ટોલ થાય ત્યારે પેકેજ સંપાદકને વપરાશકર્તાની સિસ્ટમ પર મનસ્વી ફાઇલોને સુધારવા અને accessક્સેસ કરવાની મંજૂરી આપશે. આ વર્તણૂક હજી પણ સ્થાપન સ્ક્રિપ્ટો દ્વારા શક્ય છે.
"/../" સાથેના ડબ્બા ક્ષેત્રોમાં મંજૂરી આપવામાં આવી હતી
CVE-2019-16777
છેલ્લે, આ નબળાઈમાં 6.13.4 પહેલાનાં એનપીએમ સીએલઆઈ સંસ્કરણો સંવેદનશીલ છે એક મનસ્વી ફાઇલ પર ફરીથી લખો. તમે વૈશ્વિક રૂપે ઇન્સ્ટોલ કરેલ બાઇનરીઓને ફરીથી લખીને અન્ય બાઈનરીઓને રોકી શકતા નથી.
ઉદાહરણ તરીકે, જો પેકેજ વૈશ્વિક સ્તરે ઇન્સ્ટોલ કરેલું હોય અને સર્વિસ બાઈનરી બનાવવામાં આવે, તો પછીની ઇન્સ્ટોલેશન પેકેજો કે જે સેવા દ્વિસંગી પણ બનાવે છે જૂની સેવા દ્વિસંગી પર ફરીથી લખાશે. આ વર્તણૂકને હજી પણ સ્થાનિક સ્થાપનો પર અને સ્થાપન સ્ક્રિપ્ટ્સ દ્વારા મંજૂરી આપવામાં આવે છે.
તમે ફક્ત ગંતવ્ય ડિરેક્ટરીમાં જ ફાઇલોને બદલી શકો છો જ્યાં એક્ઝેક્યુટેબલ ફાઇલો ઇન્સ્ટોલ કરેલી હોય (સામાન્ય રીતે / usr, / સ્થાનિક, / બિન)
જો કે આ નબળાઈઓ માટેનું એક મહત્વપૂર્ણ પરિબળ એ છે કે જે વ્યક્તિ આ ભૂલોનો ઉપયોગ કરવા માંગે છે તે વ્યક્તિએ તેના ભોગ બનનારને ખાસ ડિઝાઇન કરેલા બિન પ્રવેશ સાથે પેકેજ સ્થાપિત કરવું પડશે. જો કે, આપણે ભૂતકાળમાં જોયું તેમ, આ કોઈ ઉદ્ધત અવરોધ નથી.
એન.એમ.પી., ઇંક. પરની સુરક્ષા ટીમ આ હુમલાના દાખલાઓ માટે રજિસ્ટ્રી સ્કેન કરી રહી છે, અને આ શોષણ સાથે રજિસ્ટ્રીમાં પ્રકાશિત કોઈ પેકેજ મળ્યું નથી. તે બાંહેધરી આપતું નથી કે તેનો ઉપયોગ થયો નથી, પરંતુ તેનો અર્થ એ છે કે હાલમાં તે રજિસ્ટ્રીમાં પ્રકાશિત પેકેજોમાં ઉપયોગમાં લેવાઈ રહ્યો નથી.
અમે ભવિષ્યમાં ખરાબ નબળા કલાકારોને આ નબળાઈઓનો ઉપયોગ કરવાથી બચાવવા માટે દેખરેખ રાખશે અને પગલાં લઈશું. જો કે, અમે એનપીએમ પેકેજોના તમામ સંભવિત સ્ત્રોતો (ખાનગી રજિસ્ટ્રિન્સ, મિરર્સ, ગિટ રિપોઝીટરીઓ, વગેરે) ને સ્કેન કરી શકતા નથી, તેથી જલદી શક્ય તે અપડેટ કરવું મહત્વપૂર્ણ છે.
મુશ્કેલીનિવારણ
મુખ્ય સોલ્યુશન તરીકે, ભલામણ કરવામાં આવે છે કે તમે નવા સુધારાત્મક સંસ્કરણ પર અપડેટ કરો કારણ કે NPM v6.13.3 માં ઉપયોગમાં લેવાતા પેકેજ.જેસન પાર્સિંગ લાઇબ્રેરીઓ એવી રીતે અપડેટ કરવામાં આવી હતી કે જે આગળના ભાગને દૂર કરવા માટે ડબ્બા ક્ષેત્રમાંની બધી એન્ટ્રીઓને સેનિટાઇઝ અને માન્ય કરશે. નોડ.જે.એસ. માં બિલ્ટ સારી રીતે ચકાસાયેલ અને ખૂબ વિશ્વસનીય રૂટ ઉપયોગિતાનો ઉપયોગ કરીને પ્રારંભિક, રૂટની પ્રવેશો અને રૂટ એસ્કેપના અન્ય માધ્યમોને સ્લેશ કરે છે.
તેમ છતાં, વર્કરાઉન્ડ તરીકે, તે વિકલ્પ સાથે ઇન્સ્ટોલ કરી શકાય છે સ્ક્રિપ્ટોને અવગણો, જે બિલ્ટ-ઇન ડ્રાઈવર પેકેજો ચલાવવાનું પ્રતિબંધિત કરે છે.
આગળ ધારણા વિના, જો તમે ભૂલો વિશે વધુ જાણવા માંગતા હો, તો તમે વિગતો એનએમપી બ્લોગ પોસ્ટમાં ચકાસી શકો છો નીચેની કડીમાં
અંતે, જેઓ નવું સંસ્કરણ ઇન્સ્ટોલ કરવા માગે છે, તેઓ સત્તાવાર ચેનલોથી અથવા તેના સ્રોત કોડમાંથી કમ્પાઇલ કરવાનું પસંદ કરીને કરી શકે છે. આ માટે તમે સૂચનોને અનુસરી શકો છો નીચેની કડી.