NPM 6.13.4-т засагдсан гурван эмзэг байдлыг NPM-ээс илрүүлсэн

Хөгжүүлэгчид төслийг хариуцаж байгаа хүмүүс NPM багцын менежерээс гаргасан саяхан гарсан NPM 6.13.4-ийн засварын шинэчлэлт Node.js хүргэлтэд орсон бөгөөд JavaScript модулиудыг түгээхэд ашигладаг.

Менежерийн энэхүү шинэ засах хувилбар нь байсан гурван эмзэг байдлыг арилгах зорилгоор эхлүүлсэн халдагчийн бэлтгэсэн багцыг суулгахдаа системийн дурын файлуудыг өөрчлөх эсвэл дарж бичих боломжийг олгодог.

CVE-2019-16775

Энэ эмзэг байдал 6.13.3-ээс өмнөх NPM CLI хувилбаруудад нөлөөлдөг, сайн байна уу дур мэдэн файл бичихэд эмзэг байдаг. Багцууд нь фолдерын гадна байгаа файлууд руу бэлгэдлийн холбоос үүсгэж болно зангилаа_ модуль суулгасны дараа хогийн саваар дамжуулан.

Хогийн савны зөв байрлуулсан оруулга. Json талбар багц редактор нь дурын файлууд руу чиглэсэн симбол холбоос үүсгэх боломжийг олгоно багцыг суулгасан үед хэрэглэгчийн систем дээр. Энэ үйлдлийг суулгах скриптүүдээр дамжуулан хийх боломжтой хэвээр байна.

CVE-2019-16776

Энэ эмзэг байдалд 6.13.3-ээс өмнөх NPM CLI хувилбаруудад файлыг дур мэдэн бичих нөлөөлөл гардаг. Хог хаягдлын талбараар дамжуулан төлөвлөсөн node_modules фолдерын гаднах хавтас руу нэвтрэхээс сэргийлж чадахгүй тул.

Хогийн савны pack.json талбарт зөв оруулсан оруулга нь багц редакторыг багц суулгасан үед хэрэглэгчийн систем дээрх дурын файлуудыг өөрчлөх, хандах боломжийг олгоно. Энэ үйлдлийг суулгах скриптүүдээр дамжуулан хийх боломжтой хэвээр байна.

Хогийн сав руу "/../" тэмдэгт чиглэлийг зөвшөөрсөн байв

CVE-2019-16777

Эцэст нь, 6.13.4-ээс өмнөх NPM CLI хувилбарууд энэ эмзэг байдалд өртөмтгий байдаг дурын файл дээр дарж бичих. Та бусад хоёртын файлуудыг дэлхийн хэмжээнд суулгасан хоёртын файлыг дарж бичихээс урьдчилан сэргийлэх боломжгүй тул.

Жишээлбэл, хэрэв багцыг дэлхийн хэмжээнд суулгаж, үйлчилгээний хоёртын файлыг үүсгэсэн бол дараачийн суулгалт үйлчилгээний хоёртын хувилбарыг үүсгэдэг багцууд хуучин үйлчилгээний хоёртын хувилбарыг дарж бичих болно. Энэ үйлдлийг орон нутгийн суулгацууд дээр, мөн скрипт скриптүүдээр дамжуулан зөвшөөрдөг хэвээр байна.

Та зөвхөн гүйцэтгэх файлуудыг суулгасан очих директорын файлуудыг сольж болно (ихэвчлэн / usr, / local, / bin).

Хэдийгээр эдгээр эмзэг байдлын чухал хүчин зүйл бол эдгээр дутагдлыг ашиглахыг хүсч байгаа хүн хохирогчдоо тусгайлан боловсруулсан хогийн савны хамт багцыг суулгаж өгөх ёстой юм. Гэсэн хэдий ч, урьд өмнө харсанчлан энэ нь даван туулах боломжгүй саад бэрхшээл биш юм.

Npm, Inc-ийн аюулгүй байдлын баг бүртгэлээс энэ халдлагын жишээг хайж байгаа бөгөөд бүртгэлд ийм ашиглалтын хамт хэвлэгдсэн багц олоогүй байна. Энэ нь ашиглагдаагүй гэсэн баталгаа биш боловч одоогоор бүртгэлд хэвлэгдсэн багцад ашиглагдаагүй гэсэн үг юм.

Цаашид ч муу жүжигчид энэхүү эмзэг байдлыг ашиглахаас урьдчилан сэргийлэх чиглэлээр хяналт тавьж, арга хэмжээ авах болно. Гэсэн хэдий ч, бид npm багцыг боломжтой бүх эх сурвалжуудыг шалгаж чадахгүй (хувийн бүртгэл, толь, git репозиторууд гэх мэт) тул аль болох богино хугацаанд шинэчлэх нь чухал юм.

Алдааг олж засварлах

Гол шийдэл болгон NPM v6.13.3-т ашиглаж буй pack.json-ийг задлах сангуудыг ариутгаж, хогийн савны талбарт байгаа бүх оруулгыг баталгаажуулах замаар шинэчлэгдсэн тул шинэ залруулгын хувилбарыг шинэчлэхийг зөвлөж байна. Node.js. сайтад суурилуулсан сайн туршигдсан, найдвартай маршрутын хэрэгслийг ашиглан эхний үсэг, маршрутын оруулга болон замаас зугтах бусад хэрэгслийг ташуу зураасаар буулгана.

Гэсэн хэдий ч, үүнийг шийдлийн дагуу суулгаж болно –Скриптүүдийг үл тоомсорлох, суулгасан драйверын багцыг ажиллуулахыг хориглодог.

Хэрэв та алдаануудын талаар илүү их мэдээлэл авахыг хүсвэл npm блог дээрх дэлгэрэнгүй мэдээллийг шалгаж үзэх боломжтой Дараах холбоос дээр.

Эцэст нь шинэ хувилбарыг суулгахыг хүссэн хүмүүст үүнийг албан ёсны сувгуудаас эсвэл эх кодоос нь хөрвүүлэх замаар сонгож болно. Үүний тулд та зааврыг дагаж болно дараах холбоос.

 


Нийтлэлийн агуулга нь бидний зарчмуудыг баримталдаг редакцийн ёс зүй. Алдааны талаар мэдээлэхийн тулд товшино уу энд байна.

Сэтгэгдэл бичих эхний хүн бай

Сэтгэгдэлээ үлдээгээрэй

Таны и-мэйл хаяг хэвлэгдсэн байх болно. Шаардлагатай талбарууд нь тэмдэглэгдсэн байна *

*

*

  1. Мэдээллийг хариуцах: Мигель Анхель Гатан
  2. Мэдээллийн зорилго: СПАМ-ыг хянах, сэтгэгдлийн менежмент.
  3. Хууль ёсны байдал: Таны зөвшөөрөл
  4. Мэдээллийн харилцаа холбоо: Хуулийн үүргээс бусад тохиолдолд мэдээллийг гуравдагч этгээдэд дамжуулахгүй.
  5. Өгөгдөл хадгалах: Occentus Networks (ЕХ) -с зохион байгуулсан мэдээллийн сан
  6. Эрх: Та хүссэн үедээ мэдээллээ хязгаарлаж, сэргээж, устгаж болно.