Уязвимость в NPM

npm
Метки: / /

В обновлении пакетного менеджера NPM 6.13.4, входящего в поставку Node.js и применяемого для распространения модулей на языке JavaScript, устранены три уязвимости (CVE-2019-16775, CVE-2019-16776 и CVE-2019-16777), позволяющие модифицировать или перезаписать произвольные системные файлы при установке пакета, подготовленного злоумышленником. В качестве обходного пути защиты может быть установка с опцией «—ignore-scripts», запрещающей выполнение встроенных пакеты обработчиков. Разработчики NPM проанализировали имеющиеся в репозитории пакеты и не нашли следов использования выявленных проблем для совершения атак.

  • CVE-2019-16777 проявляется в выпусках до 6.13.4 и позволяет перезаписать системные исполняемые файлы в процессе глобальной установки пакета. Подменить можно только файлы в целевом каталоге, куда устанавливаются исполняемые файлы (обычно /usr/local/bin).
  • CVE-2019-16775 и CVE-2019-16776 проявляются в выпусках до 6.13.3 и позволяют записать произвольный файл через создание символической ссылки на файлы вне каталога с модулями (node_modules) или через манипуляции с полем bin в package.json (в поле bin допускалось использование путей с «/../»).

Источник: OpenNet.

Подписываетесь на соц-сети:

Оценка:

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд
(Пока оценок нет)
Загрузка...

Также рекомендую:

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии