Horumariyayaal kuwaasoo gacanta ku haya mashruuca ka socota maareeyaha xirmada NPM, la sii daayay dhawaan la sii daayay cusbooneysiin sax ah oo ku socota NPM 6.13.4 lagu daro gaarsiinta Node.js waxaana loo adeegsaday in lagu qaybiyo modullada JavaScript.
Nooca cusub ee sixitaanka ee maamulaha ayaa ahaa la bilaabay si loo xalliyo saddex nuglaansho taas oo u oggolaanaysa faylasha nidaamka aan loo baahnayn in wax laga beddelo ama dib loo qoro marka la rakibayo xirmo uu diyaariyey weeraryahan.
CVE-2019-16775
Jilicsanaantaas wuxuu saameeyaa noocyada NPM CLI kahor 6.13.3, sifiican ayaad tahay waxay u nugul yahiin qorista feyl aan sabab lahayn. Xirmooyinka ayaa laga yaabaa inay abuuraan xiriiriyeyaal calaamadeysan oo faylasha ka baxsan galka node_modules iyada oo loo marayo qashinka qashinka ka dib rakibidda.
Gelitaan si sax ah loo dhisay oo ku jira weelka qashinka .json wuxuu u oggolaan lahaa tifaftiraha baakadka inuu abuuro xiriir calaamadeysan oo tilmaamaya feylal aan sabab lahayn nidaamka isticmaalaha marka xirmada la rakibo. Dabeecadani wali waa suurtogal iyada oo loo marayo qoraallada rakibidda.
CVE-2019-16776
Jilicsanaantan ayaa ah Noocyada 'NPM CLI' ka hor 6.13.3 waxaa saameeya qorista feyl la'aanta ah. Maaddaama aadan ka hortegi karin gelitaanka galalka ka baxsan galka node_modules ee loogu talagalay qashinka qashinka.
Gelitaan sax ah oo loo dhisay qashinka bin package.json wuxuu u oggolaanayaa tifaftiraha baakadka inuu wax ka beddelo oo marin u helo feylasha aan loo aabo yeelin ee nidaamka isticmaalaha markii xirmada la rakibo. Dabeecadani wali waa suurtagal iyada oo loo marayo qoraallada rakibidda.
Wadooyinka qashinka lagu rakibo ee leh "/../" waa la fasaxay
CVE-2019-16777
Ugu dambeyntii, Noocyada NPM CLI kahor 6.13.4 waxay u nugul yihiin u nuglaantaan in faylka aan sabab lahayn loo dul qoro. Maaddaama aadan ka hor istaagi kareynin binariyada kale inay dib uga qoraan labada nooc ee adduunka ku rakiban.
Tusaale ahaan, haddii xirmo adduunka oo dhan lagu rakibay oo la abuuray binary adeeg, wixii rakib ah ee ku xiga xirmooyin sidoo kale abuura ikhtiyaari ikhtiyaari ah qori doonaa adeegii hore ee binary. Dabeecaddan ayaa wali loo oggol yahay rakibidda maxalliga ah iyo waliba qoraallada rakibidda.
Kaliya waad badali kartaa feylasha kujira galka taga meesha feylasha la fulin karo lagu rakibo (badanaa / usr, / local, / bin).
In kasta oo qodob muhiim u ah nuglaantaasi ay tahay in qofka doonaya inuu ka faa'iidaysto cilladahan ay tahay inuu dhibbanihiisu ku rakibo baakadda qashin-qubka khaaska ah ee loogu talagalay. Si kastaba ha noqotee, sidaan horay u aragnay, tani maahan caqabad aan laga gudbi karin.
Kooxda amniga saacadu markay ahayd pm, Inc. waxay iska baarayeen diiwaanka tusaalooyinka weerarkan, mana aysan helin xirmooyin lagu daabacay diiwaanka adeegsigaan. Taasi ma damaanad qaadayso in aan la isticmaalin, laakiin waxay ka dhigan tahay in aan hadda loo isticmaalin baakado lagu daabacay diiwaanka.
Waxaan sii wadi doonnaa kormeerka iyo talaabooyinka aan kaga hortageyno jilayaasha xun inay ka faa'iideystaan nuglaanshahaan mustaqbalka. Si kastaba ha noqotee, ma baari karno dhammaan ilaha suurtagalka ah ee xirmooyinka npm (diiwaangelinta gaarka loo leeyahay, muraayadaha, meelaha wax lagu keydiyo ee git, iwm.) Sidaas darteed waa muhiim in la cusbooneysiiyo sida ugu dhakhsaha badan.
Cilad bixinta
Xalka ugu weyn, waxaa lagugula talinayaa inaad u cusbooneysiiso nooca saxda ah ee saxda ah sida xirmada.json ee maktabadaha loo adeegsado NPM v6.13.3 loo cusbooneysiiyay si loo wanaajiyo loona xaqiijiyo dhammaan wixii soo gala goobta qashinka si looga saaro goos gooska hore. xarfaha hore, gelitaanka marinka, iyo qaabab kale oo looga baxsado, iyadoo la adeegsanayo koronto sifiican loo tijaabiyay oo aad loogu kalsoon yahay oo laga dhisay Node.js.
In kastoo, shaqo ahaan, waxaa lagu rakibi karaa ikhtiyaarka –Ildir-qoraallada, taas oo mamnuucaysa socodsiinta xirmooyinka darawalka.
Adigoon sii dheerayn, haddii aad rabto inaad waxbadan ka ogaato cayayaanka, waxaad ku hubin kartaa faahfaahinta bogga npm blog Xiriirka soo socda.
Ugu dambeyntiina, kuwa doonaya inay ku rakibaan nooca cusub, waxay ka sameyn karaan kanaalka rasmiga ah ama iyagoo dooranaya inay ka soo ururiyaan koodhkooda ilaha. Tan awgeed waxaad raaci kartaa tilmaamaha ku jira xiriirka soo socda.