Izstrādātāji kas atbild par projektu no NPM pakotņu pārvaldnieka, atbrīvots nesen izlaists koriģējošs NPM 6.13.4 atjauninājums iekļauts piegādē Node.js un tiek izmantots JavaScript moduļu izplatīšanai.
Šī jaunā vadītāja labojošā versija bija lai novērstu trīs ievainojamības kas ļauj pārveidot vai pārrakstīt patvaļīgus sistēmas failus, instalējot uzbrucēja sagatavotu pakotni.
CVE-2019-16775
Šī ievainojamība ietekmē NPM CLI versijas pirms 6.13.3, nu tu esi viņi ir neaizsargāti pret patvaļīgu lietas rakstīšanu. Paketes var izveidot simboliskas saites uz failiem ārpus mapes mezgla_moduļi pēc tvertnes lauka pēc instalēšanas.
Pareizi izveidots ieraksts laukā bin package.json ļautu pakotņu redaktoram izveidot simbolisku saiti, kas norāda uz patvaļīgiem failiem lietotāja sistēmā, kad pakotne ir instalēta. Šāda rīcība joprojām ir iespējama, izmantojot instalēšanas skriptus.
CVE-2019-16776
Šajā ievainojamībā Patvaļīga failu rakstīšana ietekmē NPM CLI versijas pirms 6.13.3. Tā kā caur atkritnes tvertni nevar liegt piekļuvi mapēm ārpus paredzētās mapes node_modules.
Pareizi izveidots ieraksts laukā bin package.json ļautu pakešu redaktoram modificēt un piekļūt patvaļīgiem failiem lietotāja sistēmā, kad pakotne ir instalēta. Šāda rīcība joprojām ir iespējama, izmantojot instalēšanas skriptus.
Kastes ar "/../" bija atļautas atkritumu tvertnes laukā
CVE-2019-16777
Visbeidzot, NPM CLI versijas pirms 6.13.4 ir neaizsargātas pret šo ievainojamību uz patvaļīgu failu pārrakstīt. Tā kā jūs nevarat atturēt citus bināros failus pārrakstīt esošos globāli instalētos bināros failus.
Piemēram ja pakotne tika instalēta globāli un izveidoja bināru pakalpojumu, tad jebkura nākamā instalācija paketes, kas arī izveido pakalpojumu bināro pārrakstīs veco servisa bināro. Šī darbība joprojām ir atļauta vietējām instalācijām un arī ar instalācijas skriptiem.
Failus var aizstāt tikai mērķa direktorijā, kur ir instalēti izpildāmie faili (parasti / usr, / local, / bin).
Lai gan svarīgs šo ievainojamību ietekmējošais faktors ir tas, ka personai, kas vēlas izmantot šos trūkumus, upurim būs jāinstalē pakotne ar speciāli izstrādātu atkritumu ierakstu. Tomēr, kā mēs redzējām pagātnē, tas nav nepārvarams šķērslis.
Npm, Inc. drošības komanda ir meklējusi reģistrā šī uzbrukuma piemērus un nav atradusi nevienu pakotni, kas reģistrā būtu publicēta ar šo izmantojumu. Tas negarantē, ka tas nav izmantots, bet tas nozīmē, ka tas pašlaik netiek izmantots paketēs, kas publicētas reģistrā.
Mēs turpināsim uzraudzīt un veikt pasākumus, lai neļautu sliktiem dalībniekiem nākotnē izmantot šo ievainojamību. Tomēr mēs nevaram skenēt visus iespējamos npm pakotņu avotus (privātie reģistri, spoguļi, git krātuves utt.), Tāpēc ir svarīgi atjaunināt pēc iespējas ātrāk.
Problēmu novēršana
Kā galveno risinājumu ieteicams atjaunināt uz jauno labojošo versiju, jo paketes .json parsēšanas bibliotēkas, kas tiek izmantotas NPM v6.13.3 versijā, tika atjauninātas tādā veidā, lai dezinficētu un validētu visus ierakstus atkritumu tvertnē, lai noņemtu slīpsvītras iniciāļus. , maršruta ierakstus un citus maršruta aizbēgšanas veidus, izmantojot labi pārbaudītu un ļoti uzticamu maršruta utilītu, kas iebūvēta Node.js.
Lai gan, kā risinājumu to var instalēt ar opciju – Ignorēt-skriptus, kas aizliedz palaist iebūvētās draiveru pakotnes.
Bez papildu domām, ja vēlaties uzzināt vairāk par kļūdām, sīkāku informāciju varat pārbaudīt npm emuāra ziņā Šajā saitē.
Visbeidzot, tiem, kas vēlas instalēt jauno versiju, viņi to var izdarīt no oficiālajiem kanāliem vai izvēloties apkopot no tā pirmkoda. Lai to izdarītu, varat izpildīt instrukcijas šo saiti.