டெவலப்பர்கள் திட்டத்தின் பொறுப்பாளர்கள் NPM தொகுப்பு மேலாளரிடமிருந்து வெளியிடப்பட்டது சமீபத்தில் வெளியிடப்பட்டது NPM 6.13.4 க்கு ஒரு சரியான புதுப்பிப்பு Node.js விநியோகத்தில் சேர்க்கப்பட்டுள்ளது மற்றும் ஜாவாஸ்கிரிப்ட் தொகுதிகள் விநியோகிக்கப் பயன்படுகிறது.
மேலாளரின் இந்த புதிய திருத்த பதிப்பு மூன்று பாதிப்புகளைத் தீர்க்கும் வகையில் தொடங்கப்பட்டது தாக்குபவர் தயாரித்த தொகுப்பை நிறுவும் போது தன்னிச்சையான கணினி கோப்புகளை மாற்றியமைக்க அல்லது மேலெழுத அனுமதிக்கும்.
CVE-2019-16775
இந்த பாதிப்பு 6.13.3 க்கு முன் NPM CLI பதிப்புகளை பாதிக்கிறது, நீங்கள் நன்றாக இருக்கிறீர்கள் அவை தன்னிச்சையான கோப்பு எழுத்துக்கு பாதிக்கப்படக்கூடியவை. தொகுப்புகள் கோப்புறையின் வெளியே உள்ள கோப்புகளுக்கான குறியீட்டு இணைப்புகளை உருவாக்கக்கூடும் முனை_மாடூல்கள் நிறுவிய பின் பின் புலம் வழியாக.
பின் தொகுப்பு.ஜெசன் புலத்தில் சரியாக கட்டப்பட்ட நுழைவு தன்னிச்சையான கோப்புகளை சுட்டிக்காட்டும் குறியீட்டு இணைப்பை உருவாக்க ஒரு தொகுப்பு எடிட்டரை அனுமதிக்கும் தொகுப்பு நிறுவப்பட்டதும் பயனரின் கணினியில். நிறுவல் ஸ்கிரிப்டுகள் மூலம் இந்த நடத்தை இன்னும் சாத்தியமாகும்.
CVE-2019-16776
இந்த பாதிப்பில் 6.13.3 க்கு முந்தைய NPM CLI பதிப்புகள் தன்னிச்சையான கோப்பு எழுத்தால் பாதிக்கப்படுகின்றன. பின் புலம் வழியாக நோக்கம் கொண்ட node_modules கோப்புறைக்கு வெளியே கோப்புறைகளுக்கான அணுகலை நீங்கள் தடுக்க முடியாது என்பதால்.
பின் package.json புலத்தில் ஒழுங்காக கட்டமைக்கப்பட்ட நுழைவு தொகுப்பு நிறுவப்பட்டபோது ஒரு பயனரின் கணினியில் தன்னிச்சையான கோப்புகளை மாற்றவும் அணுகவும் ஒரு தொகுப்பு எடிட்டரை அனுமதிக்கும். நிறுவல் ஸ்கிரிப்டுகள் மூலம் இந்த நடத்தை இன்னும் சாத்தியமாகும்.
பின் புலத்தில் "/../" உடன் பாதைகள் அனுமதிக்கப்பட்டன
CVE-2019-16777
இறுதியாக, 6.13.4 க்கு முந்தைய NPM CLI பதிப்புகள் இந்த பாதிப்புக்குள்ளாகும் ஒரு தன்னிச்சையான கோப்பு மேலெழுதும். தற்போதுள்ள உலகளவில் நிறுவப்பட்ட பைனரிகளை மேலெழுதும் பிற பைனரிகளை நீங்கள் தடுக்க முடியாது என்பதால்.
உதாரணமாக, ஒரு தொகுப்பு உலகளவில் நிறுவப்பட்டு ஒரு சேவை பைனரியை உருவாக்கியிருந்தால், அடுத்தடுத்த நிறுவல் ஒரு சேவை பைனரியை உருவாக்கும் தொகுப்புகள் பழைய சேவை பைனரியை மேலெழுதும். இந்த நடத்தை உள்ளூர் நிறுவல்களிலும் நிறுவல் ஸ்கிரிப்டுகள் மூலமும் இன்னும் அனுமதிக்கப்படுகிறது.
இயங்கக்கூடிய கோப்புகள் நிறுவப்பட்ட இலக்கு கோப்பகத்தில் மட்டுமே கோப்புகளை மாற்ற முடியும் (வழக்கமாக / usr, / local, / bin).
இந்த பாதிப்புகளுக்கு ஒரு முக்கியமான காரணி என்னவென்றால், இந்த குறைபாடுகளை சுரண்ட விரும்பும் நபர், பாதிக்கப்பட்டவர் சிறப்பாக வடிவமைக்கப்பட்ட பின் நுழைவுடன் தொகுப்பை நிறுவ வேண்டும். இருப்பினும், கடந்த காலங்களில் நாம் கண்டது போல, இது தீர்க்க முடியாத தடையல்ல.
இந்த தாக்குதலுக்கான எடுத்துக்காட்டுகளுக்காக npm, Inc. இல் உள்ள பாதுகாப்புக் குழு பதிவேட்டை ஸ்கேன் செய்து வருகிறது, மேலும் இந்த சுரண்டலுடன் பதிவேட்டில் வெளியிடப்பட்ட எந்த தொகுப்புகளும் கிடைக்கவில்லை. அது பயன்படுத்தப்படவில்லை என்பதற்கு இது உத்தரவாதம் அளிக்காது, ஆனால் இது தற்போது பதிவேட்டில் வெளியிடப்பட்ட தொகுப்புகளில் பயன்படுத்தப்படவில்லை என்று அர்த்தம்.
எதிர்காலத்தில் மோசமான நடிகர்கள் இந்த பாதிப்பைப் பயன்படுத்துவதைத் தடுக்க நாங்கள் தொடர்ந்து கண்காணித்து நடவடிக்கை எடுப்போம். இருப்பினும், npm தொகுப்புகளுக்கான (தனியார் பதிவேடுகள், கண்ணாடிகள், கிட் களஞ்சியங்கள் போன்றவை) சாத்தியமான எல்லா ஆதாரங்களையும் எங்களால் ஸ்கேன் செய்ய முடியாது, எனவே விரைவில் புதுப்பிப்பது முக்கியம்.
பழுது நீக்கும்
முக்கிய தீர்வாக, NPM v6.13.3 இல் பயன்பாட்டில் உள்ள தொகுப்பு.ஜெசன் பாகுபடுத்தும் நூலகங்கள் புதுப்பிக்கப்பட்டதால், புதிய திருத்த பதிப்பிற்கு புதுப்பிக்க பரிந்துரைக்கப்படுகிறது. Node.js இல் கட்டமைக்கப்பட்ட நன்கு சோதிக்கப்பட்ட மற்றும் மிகவும் நம்பகமான பாதை பயன்பாட்டைப் பயன்படுத்தி, முதலெழுத்துக்கள், பாதை உள்ளீடுகள் மற்றும் பாதை தப்பிப்பதற்கான பிற வழிகளைக் குறைக்கிறது.
என்றாலும், ஒரு பணித்தொகுப்பாக, இது விருப்பத்துடன் நிறுவப்படலாம் ஸ்கிரிப்ட்களை புறக்கணிக்கவும், இது உள்ளமைக்கப்பட்ட இயக்கி தொகுப்புகளை இயக்குவதைத் தடைசெய்கிறது.
மேலும் கவலைப்படாமல், பிழைகள் பற்றி மேலும் தெரிந்து கொள்ள விரும்பினால், நீங்கள் npm வலைப்பதிவு இடுகையில் விவரங்களை சரிபார்க்கலாம் பின்வரும் இணைப்பில்.
இறுதியாக, புதிய பதிப்பை நிறுவ விரும்புவோருக்கு, அவர்கள் அதிகாரப்பூர்வ சேனல்களிலிருந்து அல்லது அதன் மூலக் குறியீட்டிலிருந்து தொகுக்கத் தேர்ந்தெடுப்பதன் மூலம் அவ்வாறு செய்யலாம். இதற்காக நீங்கள் உள்ள வழிமுறைகளைப் பின்பற்றலாம் பின்வரும் இணைப்பு.