Pangembang sing dadi pengurus proyek kasebut saka manajer paket NPM, dirilis bubar dirilis nganyari korektif menyang NPM 6.13.4 kalebu ing pangiriman Node.js lan digunakake kanggo nyebarake modul JavaScript.
Versi koreksi anyar manajer iki yaiku diluncurake kanggo ngatasi telung kerentanan sing ngidini file sistem sewenang-wenang bisa diowahi utawa ditimpa nalika nginstal paket sing disiapake dening panyerang.
CVE-2019-16775
Kerentanan iki mengaruhi versi NPM CLI sadurunge 6.13.3, uga sampeyan dheweke rentan nulis file kanthi sewenang-wenang. Paket bisa nggawe link simbolis menyang file ing njaba folder simpul liwat kolom bin sawise instalasi.
Entri sing dibangun kanthi bener ing kolom bin.json bin ngidini editor paket nggawe link simbolis sing nuduhake file sewenang-wenang ing sistem pangguna nalika paket wis diinstal. Prilaku kasebut isih bisa ditindakake liwat skrip instalasi.
CVE-2019-16776
Ing kerentanan iki Versi NPM CLI sadurunge 6.13.3 kena pengaruh nulis file kanthi sewenang-wenang. Amarga sampeyan ora bisa nyegah akses menyang folder ing njaba folder node_modules sing dituju liwat kolom bin.
Entri sing wis dibangun kanthi bener ing kolom bin paket.json bakal ngidini editor paket ngowahi lan ngakses file sewenang-wenang ing sistem pangguna nalika paket kasebut diinstal. Prilaku kasebut isih bisa ditindakake liwat skrip instalasi.
Ing rute lapangan bin kanthi "/../" diijini
CVE-2019-16777
Pungkasan, Versi NPM CLI sadurunge 6.13.4 rentan ing kerentanan iki menyang file kasepakatan nimpa. Amarga sampeyan ora bisa nyegah binar liyane nimpa binar sing wis diinstal global.
Contone, yen paket diinstal kanthi global lan nggawe binar layanan, apa wae instalasi sabanjure paket sing uga nggawe binar layanan bakal nimpa binar layanan lawas. Prilaku iki isih diidini ing instalasi lokal lan uga liwat skrip instalasi.
Sampeyan mung bisa ngganti file ing direktori tujuan sing nginstal file eksekusi (biasane / usr, / local, / bin).
Sanajan faktor penting kanggo kerentanan kasebut yaiku yen wong sing pengin ngeksploitasi cacat kasebut kudu korban dheweke nginstal paket kasebut kanthi entri bin sing dirancang khusus. Nanging, kaya sing wis dingerteni sadurunge, iki dudu alangan sing ora bisa diatasi.
Tim keamanan ing npm, Inc. wis mindhai pendaptaran kanggo conto serangan iki, lan ora nemokake paket sing diterbitake ing registri kanthi eksploitasi iki. Iki ora njamin yen durung digunakake, nanging tegese saiki ora digunakake ing paket sing diterbitake ing registri.
Kita bakal terus ngawasi lan njupuk tindakan supaya aktor ala ora ngeksploitasi kerentanan iki mbesuk. Nanging, kita ora bisa mindhai kabeh sumber sing bisa kanggo paket npm (registrasi pribadi, cermin, repositori git, lsp.), Mula penting banget kanggo nganyari.
Ngatasi masalah
Minangka solusi utama, disaranake sampeyan nganyari versi koreksi anyar minangka pustaka json paket sing digunakake ing NPM v6.13.3 dianyari kanthi cara ngresiki lan validasi kabeh entri ing kolom bin kanggo mbusak motong garis dhisikan, entri rute, lan cara liya kanggo uwal rute, nggunakake sarana rute sing wis dites lan dipercaya manawa dibangun ing Node.js.
Sanadyan, minangka solusi, bisa diinstal kanthi pilihan –Aja nglirwakake-skrip, sing nglarang mbukak paket driver internal.
Tanpa mikir maneh, yen sampeyan pengin ngerti luwih lengkap babagan bug, sampeyan bisa mriksa rincian ing postingan blog npm Ing link ing ngisor iki.
Pungkasan, kanggo sing pengin nginstal versi anyar, bisa ditindakake saka saluran resmi utawa kanthi milih nyusun saka kode sumber. Iki sampeyan bisa tindakake pandhuan ing link ing ngisor iki.
Dadi pisanan komentar