Новости Уязвимость в npm позволяла размещать или модифицировать файлы на машине жертвы

GLOV

Опытный
ПРОВЕРЕННЫЙ ПРОДАВЕЦ ⭐
Private Club
Старожил
Регистрация
20/5/18
Сообщения
1.158
Репутация
536
Реакции
1.634
RUB
2.000
Депозит
56 072 рублей
Сделок через гаранта
30
Арбитражи
1
В популярнейшем JavaScript-менеджере пакетов npm (Node Package Manager) была обнаружена уязвимость, и теперь пользователей призывают как можно скорее обновиться до версии 6.13.4. В противном случае злоумышленники смогут размещать и модифицировать бинарники на машинах пользователей.
iu


Разработчики объясняют, что клиент CLI был подвержен опасному багу: комбинации проблем file traversal и возможности (пере)записи произвольных файлов. В результате атакующий получал возможность поместить на компьютер жертвы вредоносные бинарники и перезаписать файлы. Уязвимость может эксплуатировать только во время установки npm-пакета с через интерфейс CLI.

Пока разработчикам npm не удалось обнаружить никаких подозрительных признаков того, что какие-то пакеты содержали эксплоит для этой проблемы. Пока они не спешат гарантировать, что никто не успел воспользоваться свежей уязвимостью, но уверяют, что среди официальных пакетов в npm эксплоитов найдено не было.

Так как изучить все другие возможные источники пакетов разработчики не в силах, они призывают пользователей как можно скорее обновиться до безопасной версии npm 6.13.4. Сообщается, что уязвимость также затрагивала Yarn, где ошибка была устранена с релизом версии 1.21.1.

Немецкий исследователь Дэниел Руф (Daniel Ruf), обнаруживший уязвимость, опубликовал детальный пост в своем блоге, где рассказал не только о технических аспектах проблемы, но и обнародовал PoC-эксплоиты, которые могут использоваться для записи и перезаписи произвольных файлов и разрешат атакующему несанкционированный доступ к файлам.
 
Сверху Снизу