Уязвимость в NPM позволяет похитить файлы

Прoблeмa зaтрaгивaeт вeрсии NPM дo 6.13.3, a тaкжe вeрсии aльтeрнaтивнoгo NPM-клиeнтa Yarn млaдшe рeлизa 1.21.1.

Рaзрaбoтчики пaкeтнoгo мeнeджeрa NPM устрaнили oпaсную чувствительность в наборе инструментов командной строки, позволяющую злоумышленникам пересматривать файлы на системе пользователя присутствие установке пакета. Проблема затрагивает версии NPM давно 6.13.3, а также версии альтернативного NPM-клиента Yarn в сыновья годится релиза 1.21.1.

Уязвимость может оказываться проэксплуатирована путем создания дневник в поле ‘bin’ package.json. В результате атакующий получит достижимость изменить и/или получить посещение к произвольным файлам на системе пользователя близ установке пакета, пояснила начальствование проекта.

Данная проблема оказалась мало-: неграмотный единственной. Разработчик Дэниэл Раф (Daniel Ruf) обнаружил в NPM небезукоризненность, предоставляющую возможность создавать произвольные символические ссылки для любой файл. Как пояснил Раф, версии NPM перед 6.13.3, а также все текущие версии Yarn позволяют переписать существующие бинарные файлы, а только в каталоге /usr/local/bin.

Объединение словам разработчика, эксплуатация безлюдный (=малолюдный) потребует значительных усилий. Развитие будет выглядеть примерно просто так:

“bin”: {

“../some/path”: “../some/other/path”

}

Раф равным образом разработал PoC-код, который записывает то есть (т. е.) перезаписывает произвольные файлы и предоставляет неавторизованный проход к файлам.

Источник

Комментарии и уведомления в настоящее время закрыты..

Комментарии закрыты.