Παρασκευή, 10 Απριλίου, 07:13
Αρχική security Npm: ενημερώστε το JavaScript για να αποφύγετε το Binary Planting Bug

Npm: ενημερώστε το JavaScript για να αποφύγετε το Binary Planting Bug

Npm

Η Npm, προτρέπει τους χρήστες να ενημερώσουν τα πακέτα JavaScript που χρησιμοποιούν στην τελευταία έκδοση (6.13.4), προκειμένου να αποφύγουν επιθέσεις «Binary Planting».

Σε περίπτωση που δεν το γνωρίζετε, η εταιρεία είναι ο βασικός διαχειριστής του Node.js – ένα πλαίσιο για κώδικα JavaScript που εκτελείται εκτός του προγράμματος περιήγησης ή του server και σας δίνει τη δυνατότητα να διαχειριστείτε τα πακέτα npm μέσω της διεπαφής CLI.

Η υπηρεσία δηλώνει ότι υπάρχει ένα σφάλμα ασφαλείας στο npm CLI client, το οποίο μπορεί να αφήσει ευάλωτο το σύστημα σε επιθέσεις binary planting. Αυτό το ελάττωμα μπορεί να εκμεταλλευτεί από έναν κακόβουλο χρήστη, μόνο κατά τη διάρκεια της εγκατάστασης ενός πακέτου npm μέσω του npm CLI.

Εντοπίστηκαν δύο ευπάθειες

Σε μία ανάρτησή του, ο Γερμανός ερευνητής ασφαλείας Daniel Ruf, αναφέρει ότι εντόπισε δύο ευπάθειες στο npm CLI, οι οποίες χαρακτηρίστηκαν ως CVE-2019-16775, 16776 και 16777.

- Advertisement -

Για να συμπεριλάβουν πακέτα της υπηρεσίας npm στον κώδικα, οι προγραμματιστές τα απαριθμούν σε ένα αρχείο που ονομάζεται package.json και πιο συγκεκριμένα σε ένα πεδίο που ονομάζεται bin. Όλες οι καταχωρήσεις σε αυτό το πεδίο, καταδεικνύουν μία εντολή σε ένα όνομα τοπικού αρχείου στον κατάλογο ./node_modules/.bin/ στο φάκελο του έργου του προγραμματιστή. Ως μέρος των δραστηριοτήτων διαχείρισης, η npm μπορεί να αντικαταστήσει αυτά τα αρχεία με νέες εκδόσεις.

Σε αυτό το σημείο, είναι που το ένα σφάλμα μπορεί να επιτρέψει μια επίθεση γνωστή ως binary planting. Οι εκδόσεις που είναι πριν από το 6.13.3 αφήνουν τα πακέτα να αποκτήσουν πρόσβαση σε φακέλους έξω από τον προοριζόμενο φάκελο, μέσω χειραγώγησης των διαδρομών στο πεδίο bin.

Με τον τρόπο αυτό, ένας hacker, μπορεί να αντικαταστήσει ένα αρχείο με ένα κακόβουλο, οπουδήποτε στο σύστημα του χρήστη ή να δημιουργήσει ένα νέο αρχείο εξ’ αρχής.

Το δεύτερο σφάλμα εντοπίστηκε στο bin-links (το πακέτο npm που διαχειρίζεται τους συνδέσμους από το πεδίο bin στο αρχείο στο ./node_modules/.bin/, το οποίο επίσης υπάρχει στο npm CLI).

Για τη διαχείριση αυτών των αρχείων χρησιμοποιείται ένα symlink (symbolic link). Το ελάττωμα των συνδέσμων Bin-links είναι ότι επιτρέπει στα πακέτα να αντικαταστήσουν το symlink, ακόμα κι αν δεν το δημιούργησαν.

Ωστόσο για να πραγματοποιηθεί αυτή η επίθεση, ο hacker πρέπει να πείσει έναν χρήστη να εγκαταστήσει ένα αρχείο μέσω χειραγώγησης στο πεδίο bin. Αν και δεν είναι τόσο πιθανό, εξακολουθεί να είναι δυνατό.

Υπάρχει λύση

Η εταιρεία έχει επιδιορθώσει αυτά τα θέματα και προτρέπει τους χρήστες να ενημερώσουν άμεσα το npm CLI τους στην έκδοση 6.13.4. Επίσης, είναι χρήσιμο να ελέγξετε το πεδίο bin των αρχείων package.json στο project σας, για τυχόν ύποπτες διαδρομές αρχείων.

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

LIVE NEWS

loopfs: Θα μπορούσε να είναι το νέο σύστημα αρχείων του Linux;

Το Linux υποστηρίζει αρκετά συστήματα αρχείων, όπως EXT4, F2FS, Btrfs και XFS. Αυτά τα συστήματα επαρκούν όταν...

Έρευνα: Οι έφηβοι προτιμούν τα iPhones από τα κινητά Samsung

Σύμφωνα με έρευνα που διεξάγεται κάθε έξι μήνες με στόχο να καταγράψει τις συνήθειες των εφήβων, oι νέοι δεν επιλέγουν κινητά Samsung....

Bill Gates: Τα σχολεία ανοίγουν το φθινόπωρο και η οικονομία καταστρέφεται

Ο Bill Gates πιστεύει ότι τα σχολεία θα μπορέσουν να ανοίξουν το φθινόπωρο, δήλωσε σε συνέντευξή του στο Becky Quick στο CNBC.

Μουσείο Τηλεπικοινωνιών Ομίλου ΟΤΕ: Εκπαιδευτικά προγράμματα και ψυχαγωγικές δράσεις από το σπίτι για παιδιά 4-12 ετών και όλη την οικογένεια

Εκπαιδευτικά προγράμματα και ψυχαγωγικές δράσεις για παιδιά και οικογένειες, στις οποίες μπορούν συμμετάσχουν από το σπίτι, προσφέρει το Μουσείο Τηλεπικοινωνιών του Ομίλου...

Microsoft: Κυκλοφόρησε τις ενημερώσεις του Απριλίου 2020 για το Office

Η Microsoft κυκλοφόρησε τις non-security ενημερώσεις του Απριλίου 2020 για το Microsoft Office, οι οποίες περιλαμβάνουν διορθώσεις για σφάλματα καθώς και βελτιώσεις...

To νέο Cheetah mode της Τesla προσφέρει κορυφαίες επιδόσεις

Το νέο Cheetah mode στο μοντέλο Tesla S ωθεί το ηλεκτρικό αυτοκίνητο από 0 στα 100 χλμ / ώρα γρηγορότερα από ότι...

Tails 4.5: Κυκλοφόρησε η νέα, πιο ασφαλής έκδοση!

Tails 4.5: Κυκλοφόρησε η νέα, πιο ασφαλής έκδοση- Το Tails, είναι ένα live λειτουργικό σύστημα βασισμένο στο...

Windows 10 λειτουργία βοηθά στη διαγραφή άχρηστων αρχείων και apps

Τα Windows 10 θα διευκολύνουν τη διαγραφή άχρηστων αρχείων και apps, παρουσιάζοντάς τα μαζεμένα σε μια λίστα.

Cloudflare: Σταματά να χρησιμοποιεί το reCAPTCHA της Google!

Η Cloudflare ανακοίνωσε ότι θα σταματήσει να χρησιμοποιεί το reCAPTCHA της Google και θα μεταβεί σε έναν νέο πάροχο εντοπισμού bot που...

Το Google Stadia Pro προσφέρεται δωρεάν για δύο μήνες! Ώρα για video games!

Η κατάσταση που βιώνουμε το τελευταίο διάστημα λόγω κορωνοϊού, είναι μια από τις πιο δύσκολες καταστάσεις των...