NPM 6.13.4-те бекітілген үш осалдық анықталды

Әзірлеушілер жобаға жауапты адамдар NPM пакет менеджерінен шығарылды жақында шығарылды NPM 6.13.4 түзету жаңартуы Node.js жеткізіліміне кіреді және JavaScript модульдерін тарату үшін қолданылады.

Бұл менеджердің жаңа түзету нұсқасы болды үш осалдығын жою мақсатында іске қосылды шабуылдаушы дайындаған буманы орнату кезінде жүйелік файлдарды өзгертуге немесе қайта жазуға мүмкіндік беретін.

CVE-2019-16775

Бұл осалдық 6.13.3 дейін NPM CLI нұсқаларына әсер етеді, жақсы сен олар файлды ерікті түрде жазуға осал. Пакеттер қалтадан тыс файлдарға символдық сілтемелер жасай алады түйін_модульдері орнатқаннан кейін қоқыс салатын өріс арқылы.

Bin pack.json өрісіне дұрыс салынған жазба бума редакторына еркін файлдарға бағытталған символдық сілтеме жасауға мүмкіндік береді пакет орнатылған кезде пайдаланушының жүйесінде. Бұл мінез-құлық орнату сценарийлері арқылы мүмкін болады.

CVE-2019-16776

Бұл осалдықта 6.13.3 дейінгі NPM CLI нұсқаларына файлдарды ерікті жазу әсер етеді. Сіз қалаған node_modules қалтасынан тыс қалталарға қоқыс өрісі арқылы қол жеткізе алмайсыз.

Bin pack.json өрісіне дұрыс салынған жазу бума редакторына бума орнатылған кезде қолданушы жүйесіндегі ерікті файлдарды өзгертуге және қол жеткізуге мүмкіндік береді. Бұл мінез-құлық орнату сценарийлері арқылы мүмкін болады.

«/../» бар далалық маршруттарға рұқсат етілді

CVE-2019-16777

Соңында, 6.13.4 дейінгі NPM CLI нұсқалары бұл осалдықта осал болып табылады ерікті файлдың үстінен жазуға. Өйткені сіз басқа екілік файлдардың ғаламдық деңгейде орнатылған екілік файлдарды қайта жазуына жол бере алмайсыз.

Мысалы, егер пакет жаһандық деңгейде орнатылса және қызметтік екілік құрса, келесі кез келген орнату қызметтік екілік құратын пакеттер ескі қызметтік екіліктің орнына жазылады. Бұл әрекетке жергілікті қондырғыларда, сондай-ақ орнату сценарийлері арқылы рұқсат етіледі.

Сіз файлдарды тек орындалатын файлдар орнатылатын тағайындалған каталогта ауыстыра аласыз (әдетте / usr, / local, / bin).

Бұл осалдықтардың маңызды факторы осы кемшіліктерді пайдаланғысы келетін адам үшін құрбанды пакетті арнайы жасалған қоқыс жәшігімен орнатуы керек. Алайда, бұған дейін көргеніміздей, бұл еңсерілмейтін кедергі емес.

Npm, Inc. компаниясының қауіпсіздік тобы тізілімде осы шабуылдың мысалдары бар-жоғын қарап шықты және осы эксплуатациямен тізілімде жарияланған бумаларды таппады. Бұл оның қолданылмағанына кепілдік бермейді, бірақ ол тізілімде жарияланған бумаларда қолданылмайтындығын білдіреді.

Біз болашақта жаман актерлердің осалдықты пайдалануына жол бермеу үшін бақылауды және шараларды қолдануды жалғастырамыз. Алайда, біз npm пакеттерінің барлық көздерін (жеке регистрлер, айналар, git репозитарийлері және т.б.) сканерлей алмаймыз, сондықтан мүмкіндігінше тезірек жаңарту қажет.

Ақаулық себебін іздеу және түзету

Негізгі шешім ретінде жаңа түзету нұсқасын жаңарту ұсынылады, өйткені NPM v6.13.3-те қолданылатын кітапханаларды талдаушы пакет. Node.js. сайтына орнатылған, тексерілген және өте сенімді маршруттық утилитаны қолдана отырып, инициалдар, маршрут жазбалары және маршруттың қашуының басқа құралдары.

Дегенмен, уақытша шешім ретінде оны опциямен орнатуға болады –Скрипттерді елемеу, бұл кіріктірілген драйвер бумаларын іске қосуға тыйым салады.

Көп ұзамай, қателер туралы көбірек білгіңіз келсе, npm блогындағы мәліметтерді тексере аласыз Келесі сілтемеде.

Ақырында, жаңа нұсқаны орнатқысы келетіндер үшін олар ресми арналардан немесе бастапқы кодтан компиляция таңдау арқылы жасай алады. Ол үшін сіз нұсқаулық бойынша жүре аласыз келесі сілтеме.

 


Мақаланың мазмұны біздің ұстанымдарымызды ұстанады редакторлық этика. Қате туралы хабарлау үшін нұқыңыз Мұнда.

Бірінші болып пікір айтыңыз

Пікіріңізді қалдырыңыз

Сіздің электрондық пошта мекен-жайы емес жарияланады. Міндетті өрістер таңбаланған *

*

*

  1. Деректерге жауапты: Мигель Анхель Гатан
  2. Деректердің мақсаты: СПАМ-ны басқару, түсініктемелерді басқару.
  3. Заңдылық: Сіздің келісіміңіз
  4. Деректер туралы ақпарат: заңды міндеттемелерді қоспағанда, деректер үшінші тұлғаларға жіберілмейді.
  5. Деректерді сақтау: Occentus Networks (ЕО) орналастырған мәліметтер базасы
  6. Құқықтар: Сіз кез-келген уақытта ақпаратты шектей, қалпына келтіре және жоя аласыз.