Dräi Schwachstelle goufen am NPM fonnt, déi am NPM 6.13.4 fixéiert sinn

Entwéckler déi fir de Projet zoustänneg sinn vum NPM Package Manager, verëffentlecht kuerzem verëffentlecht e Verbesserungsaktualiséierung op NPM 6.13.4 abegraff an der Node.js Liwwerung a benotzt fir JavaScript Module ze verdeelen.

Dës nei Korrekturversioun vum Manager war lancéiert fir dräi Schwachlëchkeet ze léisen déi et erlaben arbiträr Systemdateien z'änneren oder ze iwwerschreiwe wann Dir e Package installéiere vun engem Ugräifer.

CVE-2019-16775

Dës Schwachstelle beaflosst NPM CLI Versioune virum 6.13.3, gutt sidd Dir si sinn ufälleg fir arbiträr Dateieschreiwen. Packagen kënnen symbolesch Links zu Dateien ausserhalb vum Dossier erstellen Node_moduler duerch de Feldfeld no der Installatioun.

Eng korrekt konstruéiert Entrée am Feld bin package.json erlaabt e Package Editor e symbolesche Link ze kreéieren deen op arbiträr Dateie weist op engem System vum Benotzer wann de Package installéiert ass. Dëst Verhalen ass ëmmer nach méiglech duerch Installatiounsskripter.

CVE-2019-16776

An dëser Schwachstelle den NPM CLI Versioune virum 6.13.3 si betraff vun arbiträrer Dateischreiwe. Well Dir keen Zougang zu Ordner ausserhalb vum geplangten Node_modules Ordner duerch de Feldfeld verhënnert.

Eng richteg konstruéiert Entrée am Bin package.json Feld erlaabt e Package Editor fir arbiträr Dateien op engem Benotzer System z'änneren an ze kréien wann de Package installéiert ass. Dëst Verhalen ass ëmmer nach méiglech duerch Installatiounsskripter.

An der Poubelle Feldweeër mat "/../" waren erlaabt

CVE-2019-16777

Endlech NPM CLI Versioune virum 6.13.4 si vulnär an dëser Schwachstelle zu enger arbiträrer Datei iwwerschreiwe. Well Dir kënnt net verhënneren datt aner Binarien existent global installéiert Binarien iwwerschreiwe kënnen.

Zum Beispill, wann e Package weltwäit installéiert gouf an e Service Binär erstallt huet, all spéider Installatioun Packagen déi och e Service Binär kreéieren wäert den ale Service Binär iwwerschreiwe. Dëst Verhalen ass ëmmer nach op lokal Installatiounen erlaabt an och duerch Installatiounsskripter.

Dir kënnt nëmmen Dateien am Destinatiounsverzeichnis ersetzen, wou déi ausführbar Dateien installéiert sinn (normalerweis / usr, / local, / bin).

Och wann e wichtege Faktor fir dës Schwachlëchkeet ass, datt déi Persoun, déi dës Mängel ausnotze wëll, säin Affer de Package mat der speziell designter Behälterinstallatioun muss installéieren. Wéi och ëmmer, wéi mir an der Vergaangenheet gesinn hunn, ass dëst net eng oniwwersiichtbar Barrière.

D'Sécherheetsteam bei npm, Inc. huet de Registry fir Beispiller vun dësem Attack gescannt, an huet keng Packagen fonnt, déi am Registry mat dësem Exploit verëffentlecht goufen. Dat garantéiert net datt et net benotzt gouf, awer et heescht datt et de Moment net a Packagen déi an de Registry publizéiert ginn benotzt gëtt.

Mir wäerte weiderhin iwwerwaachen an handelen fir ze verhënneren datt schlecht Akteuren dës Schwachstelle an Zukunft ausnotzen. Wéi och ëmmer, mir kënnen net all méiglech Quelle vun npm Packagen scannen (privat Registrierungen, Spigelen, Git Repositories, etc.), dofir ass et wichteg sou séier wéi méiglech ze updaten.

Troubleshooting

Als Haaptléisung ass et recommandéiert datt Dir op déi nei Korrektiounsupdate aktualiséiert wéi de Package. Json Parsing Bibliothéiken am Gebrauch am NPM v6.13.3 goufen op eng Manéier aktualiséiert déi all Entreeën am Feldfeld desinizeieren an validéiere fir Schräin Initialen ze läschen , Strouminträg, an aner Weeër fir Fluchtweeër, mat dem gutt getestten an héichverléissege Wee-Utility gebaut an Node.js.

Och wann, als Léisung kann et mat der Optioun installéiert ginn –Ignoréieren-Scripten, wat verbuede lafen agebaute Chauffer Packagen.

Ouni weider Ado, wann Dir méi iwwer d'Bugs wësse wëllt, kënnt Dir d'Detailer am npm Blog Post kontrolléieren An de folgende Link.

Schlussendlech, fir déi déi nei Versioun installéiere wëllen, kënne se dat vun den offizielle Kanäl maachen oder andeems se aus hirem Quellcode kompiléieren. Fir dëst kënnt Dir d'Instruktioune verfollegen an de folgende Link.

 


Den Inhalt vum Artikel hält sech un eis Prinzipie vun redaktionnell Ethik. Fir e Feeler ze mellen klickt hei.

Gitt d'éischt fir ze kommentéieren

Gitt Äre Kommentar

Är Email Adress gëtt net publizéiert ginn. Néideg Felder sinn markéiert mat *

*

*

  1. Responsabel fir d'Daten: Miguel Ángel Gatón
  2. Zweck vun den Donnéeën: Kontroll SPAM, Kommentarmanagement.
  3. Legitimatioun: Är Zoustëmmung
  4. Kommunikatioun vun den Donnéeën: D'Donnéeë ginn net un Drëttubidder matgedeelt ausser duerch legal Verpflichtung.
  5. Datenspeicher: Datebank gehost vun Occentus Networks (EU)
  6. Rechter: Zu all Moment kënnt Dir Är Informatioun limitéieren, recuperéieren an läschen.