विकसक प्रकल्प प्रभारी कोण आहेत जारी केलेल्या एनपीएम पॅकेज व्यवस्थापकाकडून नुकतेच प्रसिद्ध झाले एनपीएम 6.13.4 वर सुधारात्मक सुधारणा नोड.जेएस डिलिव्हरीमध्ये समाविष्ट आहे आणि जावास्क्रिप्ट मॉड्यूल्स वितरीत करण्यासाठी वापरला जातो.
व्यवस्थापकाची ही नवीन सुधारात्मक आवृत्ती होती तीन असुरक्षा सोडविण्यासाठी सुरू केली जे आक्रमणकर्त्याद्वारे तयार केलेले पॅकेज स्थापित करताना मनमानी सिस्टम फायली सुधारित करण्यास किंवा अधिलिखित करण्यास अनुमती देते.
सीव्हीई- 2019-16775
ही असुरक्षितता 6.13.3 पूर्वीच्या एनपीएम सीएलआय आवृत्त्यांना प्रभावित करते तू ठीक आहेस ते अनियंत्रित फाइल लेखन असुरक्षित आहेत. पॅकेजेस फोल्डरच्या बाहेरील फायलींसाठी प्रतीकात्मक दुवे तयार करु शकतात नोड_मॉड्यूल्स प्रतिष्ठापन नंतर बिन फील्ड माध्यमातून.
बिन पॅकेज.जेसन फील्डमध्ये योग्य रितीने तयार केलेली प्रविष्टी एक पॅकेज संपादकास अनियंत्रित फायलींकडे निर्देशित करणारा एक प्रतीकात्मक दुवा तयार करण्यास अनुमती देते पॅकेज स्थापित झाल्यावर वापरकर्त्याच्या सिस्टमवर. हे वर्तन अद्याप स्थापना स्क्रिप्टद्वारे शक्य आहे.
सीव्हीई- 2019-16776
या असुरक्षा मध्ये .6.13.3.१XNUMX. to पूर्वीच्या एनपीएम सीएलआय आवृत्त्या अनियंत्रित फाइल राइटमुळे प्रभावित होतात. आपण बिन फील्डद्वारे हेतू असलेल्या नोड_मॉड्यूल्स फोल्डरच्या बाहेरील फोल्डरमध्ये प्रवेश प्रतिबंधित करू शकत नाही.
बिन पॅकेज.जेसन फील्डमध्ये योग्यरित्या तयार केलेली एंट्री पॅकेज इंस्टॉल झाल्यावर पॅकेज एडिटरला वापरकर्त्याच्या सिस्टमवरील अनियंत्रित फायली सुधारित करण्यास आणि त्यात प्रवेश करण्यास अनुमती देते. हे वर्तन अद्याप स्थापना स्क्रिप्टद्वारे शक्य आहे.
"/../" सह बिन फील्ड मार्गांना परवानगी होती
सीव्हीई- 2019-16777
शेवटी, या असुरक्षा मध्ये 6.13.4 पूर्वीच्या एनपीएम सीएलआय आवृत्त्या असुरक्षित आहेत एखादी अनियंत्रित फाईल ओव्हरराईट करण्यासाठी. आपण विद्यमान जागतिक स्तरावर स्थापित बायनरी अधिलिखित करण्यापासून इतर बायनरीस प्रतिबंधित करू शकत नाही.
उदाहरणार्थ, जर पॅकेज जागतिक स्तरावर स्थापित केले गेले आणि सर्व्हिस बायनरी तयार केले, तर त्यानंतरची स्थापना पॅकेज जे सर्व्हिस बायनरी देखील तयार करतात जुन्या सेवा बायनरी अधिलिखित करेल. हे वर्तन अद्याप स्थानिक प्रतिष्ठापनांवर आणि स्थापना स्क्रिप्टद्वारे देखील अनुमत आहे.
आपण केवळ गंतव्य निर्देशिकेतील फायली पुनर्स्थित करू शकता जिथे कार्यवाही करण्यायोग्य फायली स्थापित केल्या जातात (सामान्यत: / usr, / स्थानिक, / बिन)
या असुरक्षांसाठी एक महत्त्वाचा घटक म्हणजे, ज्याला या त्रुटींचा फायदा घ्यायचा आहे त्याने त्याच्या बळीसाठी खास डिझाइन केलेल्या बिन प्रवेशाद्वारे पॅकेज स्थापित करावा लागेल. तथापि, आम्ही भूतकाळात पाहिल्याप्रमाणे, हा एक निर्लज्ज अडथळा नाही.
एनपीआय इ. मधील सुरक्षा दल या हल्ल्याच्या उदाहरणासाठी रेजिस्ट्री स्कॅन करीत आहे आणि या शोषणासह रजिस्ट्रीमध्ये प्रकाशित केलेले कोणतेही पॅकेजेस सापडलेले नाहीत. हे हमी देत नाही की तो वापरला गेला नाही, परंतु याचा अर्थ असा आहे की तो सध्या रेजिस्ट्रीमध्ये प्रकाशित केलेल्या पॅकेजमध्ये वापरला जात नाही.
भविष्यात या अगतिक गोष्टींचा गैरफायदा घेण्यापासून वाईट कलाकारांना प्रतिबंधित करण्यासाठी आम्ही त्यांचे परीक्षण करणे आणि कारवाई करणे सुरू ठेवू. तथापि, आम्ही एनपीएम पॅकेजेससाठी सर्व संभाव्य स्त्रोत स्कॅन करू शकत नाही (खाजगी नोंदणी, आरसे, गिट रिपॉझिटरीज इ.) म्हणून लवकरात लवकर अद्यतनित करणे महत्वाचे आहे.
समस्यानिवारण
मुख्य उपाय म्हणून, आपण शिफारस केली आहे की आपण नवीन सुधारात्मक आवृत्ती अद्ययावत करा कारण एनपीएम v6.13.3 मध्ये वापरात असलेले पॅकेज.जेसन पार्सिंग लायब्ररी स्लॅशस दूर करण्यासाठी बिन फील्डमधील सर्व नोंदी सॅनिटाइज आणि वैध करतील अशा प्रकारे अद्यतनित केल्या गेल्या नोड.जे.एस. मध्ये तयार केलेल्या चांगल्या-चाचणी केलेल्या आणि अत्यंत विश्वासार्ह मार्ग युटिलिटीचा वापर करून आद्याक्षरे, मार्ग प्रविष्टी आणि मार्ग सुटण्याच्या इतर साधने.
तरी, वर्कराउंड म्हणून, त्या पर्यायासह स्थापित केली जाऊ शकते स्क्रिप्ट्सकडे दुर्लक्ष करा, जे अंगभूत ड्राइव्हर पॅकेजेस चालविण्यास मनाई करते.
पुढील अडचणीशिवाय, आपण बग्सबद्दल अधिक जाणून घेऊ इच्छित असल्यास आपण एनपीएम ब्लॉग पोस्टमध्ये तपशील तपासू शकता पुढील लिंकवर
अखेरीस, ज्यांना नवीन आवृत्ती स्थापित करण्याची इच्छा आहे त्यांच्यासाठी ते अधिकृत चॅनेलवरून किंवा स्त्रोत कोडमधून संकलित करणे निवडून हे करू शकतात. यासाठी आपण खालील सूचनांचे अनुसरण करू शकता खालील दुवा.