Програмери који су задужени за пројекат од менаџера пакета НПМ, објављено недавно пуштен корективно ажурирање НПМ 6.13.4 укључен у испоруку Ноде.јс и користи се за дистрибуцију ЈаваСцрипт модула.
Ова нова корективна верзија менаџера била је покренут у циљу решавања три рањивости који омогућавају модификовање или преписивање произвољних системских датотека приликом инсталирања пакета који је припремио нападач.
ЦВЕ-КСНУМКС-КСНУМКС
Ова рањивост утиче на верзије НПМ ЦЛИ пре 6.13.3, Па јеси ли рањиви су на произвољно писање датотека. Пакети могу створити симболичке везе до датотека изван фасцикле ноде_модулес кроз поље за смеће након инсталације.
Тачно конструисан унос у пољу бин пацкаге.јсон омогућио би уређивачу пакета да креира симболичку везу која упућује на произвољне датотеке на корисничком систему када је пакет инсталиран. Ово понашање је и даље могуће путем инсталационих скрипти.
ЦВЕ-КСНУМКС-КСНУМКС
У овој рањивости На верзије НПМ ЦЛИ пре 6.13.3 произвољно је уписивање датотека. Пошто путем поља за смеће не можете спречити приступ директоријумима изван предвиђене фасцикле ноде_модулес.
Правилно конструисан унос у пољу бин пацкаге.јсон омогућио би уређивачу пакета да модификује и приступи произвољним датотекама на корисничком систему када се пакет инсталира. Ово понашање је и даље могуће путем инсталационих скрипти.
Стазе са „/../“ су биле дозвољене у пољу за смеће
ЦВЕ-КСНУМКС-КСНУМКС
Коначно, Верзије НПМ ЦЛИ пре 6.13.4 су рањиве у овој рањивости у произвољну замену датотеке. Будући да не можете спречити друге бинарне датотеке да препишу постојеће глобално инсталиране бинарне датотеке.
Нпр ако је пакет инсталиран глобално и креира бинарни сервис, свака накнадна инсталација пакети који такође креирају бинарни сервис ће преписати стари бинарни сервис. Ово понашање је и даље дозвољено на локалним инсталацијама, а такође и путем инсталационих скрипти.
Датотеке можете заменити само у одредишном директоријуму где су инсталиране извршне датотеке (обично / уср, / лоцал, / бин).
Иако је важан фактор за ове рањивости да би особа која жели да искористи ове недостатке морала жртви да инсталира пакет са посебно дизајнираним уносом у канту. Међутим, као што смо видели у прошлости, ово није непремостива препрека.
Сигурносни тим компаније нпм, Инц. скенирао је регистар у потрази за примерима овог напада и није пронашао ниједан пакет објављен у регистру са овом експлоатацијом. То не гарантује да није коришћен, али значи да се тренутно не користи у пакетима објављеним у регистру.
Наставићемо да надгледамо и предузимамо кораке како бисмо спречили лоше актере да убудуће искоришћавају ову рањивост. Међутим, не можемо скенирати све могуће изворе нпм пакета (приватни регистри, огледала, гит спремишта итд.), Па је важно да их ажурирамо што је пре могуће.
Решавање проблема
Као главно решење препоручује се ажурирање на нову исправљачку верзију јер су библиотеке за рашчлањивање пацкаге.јсон које се користе у НПМ в6.13.3 ажуриране на начин који би санирао и потврдио све уносе у пољу за смеће како би се уклонило прослеђивање коси иницијале, уносе руте и друга средства за бекство са руте, користећи добро тестирани и врло поуздани услужни програм за руте уграђен у Ноде.јс.
Иако, као заобилазно решење може се инсталирати са овом опцијом –Игнориши скрипте, који забрањује покретање уграђених управљачких пакета.
Без даљег одлагања, ако желите да сазнате више о грешкама, детаље можете погледати у нпм блоговском посту У следећем линку.
Коначно, за оне који желе да инсталирају нову верзију, то могу учинити са званичних канала или избором за компајлирање из њеног изворног кода. За ово можете следити упутства у следећи линк.