HomeSecurityΤο GitHub βρίσκει 7 ευπάθειες εκτέλεσης κώδικα στα 'tar' και npm CLI

Το GitHub βρίσκει 7 ευπάθειες εκτέλεσης κώδικα στα ‘tar’ και npm CLI

Η ομάδα ασφάλειας του GitHub εντόπισε πολλές ευπάθειες υψηλής σοβαρότητας σε πακέτα npm, “tar” και “@npmcli/arborist”, που χρησιμοποιούνται από το npm CLI.

Το πακέτο tar έχει κατά μέσο όρο 20 εκατομμύρια εβδομαδιαίες λήψεις, ενώ το arborist γίνεται download πάνω από 300.000 φορές κάθε εβδομάδα.

Οι ευπάθειες επηρεάζουν τόσο τους χρήστες Windows όσο και τους χρήστες που βασίζονται στο Unix, και αν δεν επιλυθούν, μπορούν να αξιοποιηθούν από τους χάκερ για να επιτύχουν αυθαίρετη εκτέλεση κώδικα σε ένα σύστημα που εγκαθιστά μη αξιόπιστα πακέτα npm.

Δείτε επίσης: Copilot: Το νέο AI εργαλείο δημιουργίας κώδικα από GitHub και OpenAI

#secnews #comet 

Οι κομήτες έπαιξαν «μείζονα» ρόλο για τη ζωή στη Γη. Η ιδέα ότι οι κομήτες παρέδωσαν νερό στην πρώιμη Γη δεν ευνοήθηκε την τελευταία δεκαετία, αλλά μια νέα ματιά στα δεδομένα από την αποστολή Rosetta της Ευρωπαϊκής Διαστημικής Υπηρεσίας (ESA) σε έναν εμβληματικό κομήτη, άνοιξε ξανά αυτή την πιθανότητα. Το πώς όλο αυτό το νερό κατέληξε στη Γη ωστόσο, παρέμεινε ένα μυστήριο. Μερικοί επιστήμονες πιστεύουν ότι αν και οι γεωλογικές διεργασίες της Γης μπορεί να έχουν δημιουργήσει ένα μικροσκοπικό κλάσμα του, το μεγαλύτερο μέρος του νερού πιθανότατα μεταφέρθηκε από κομήτες ή αστεροειδείς μέσω επαναλαμβανόμενων, κατακλυσμικών συγκρούσεων.

00:00 Εισαγωγή
00:26 Θεωρίες για την δημιουρία του νερού
00:55 Μορφές νερού
01:33 Κομήτες του Δία

Μάθετε περισσότερα: https://www.secnews.gr/634854/komites-epaiksan-meizona-rolo-gia-zoi-gi/

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #comet

Οι κομήτες έπαιξαν «μείζονα» ρόλο για τη ζωή στη Γη. Η ιδέα ότι οι κομήτες παρέδωσαν νερό στην πρώιμη Γη δεν ευνοήθηκε την τελευταία δεκαετία, αλλά μια νέα ματιά στα δεδομένα από την αποστολή Rosetta της Ευρωπαϊκής Διαστημικής Υπηρεσίας (ESA) σε έναν εμβληματικό κομήτη, άνοιξε ξανά αυτή την πιθανότητα. Το πώς όλο αυτό το νερό κατέληξε στη Γη ωστόσο, παρέμεινε ένα μυστήριο. Μερικοί επιστήμονες πιστεύουν ότι αν και οι γεωλογικές διεργασίες της Γης μπορεί να έχουν δημιουργήσει ένα μικροσκοπικό κλάσμα του, το μεγαλύτερο μέρος του νερού πιθανότατα μεταφέρθηκε από κομήτες ή αστεροειδείς μέσω επαναλαμβανόμενων, κατακλυσμικών συγκρούσεων.

00:00 Εισαγωγή
00:26 Θεωρίες για την δημιουρία του νερού
00:55 Μορφές νερού
01:33 Κομήτες του Δία

Μάθετε περισσότερα: https://www.secnews.gr/634854/komites-epaiksan-meizona-rolo-gia-zoi-gi/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

1

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LnNKeGUwV1JxZUtV

Οι κομήτες έπαιξαν «μείζονα» ρόλο για τη ζωή στη Γη

SecNewsTV 15 hours ago

#secnews #drones #pentagon 

Το Πεντάγωνο δήλωσε χθες ότι δεν γνωρίζει τι ακριβώς είναι αυτά τα μυστηριώδη drones που πετούσαν πάνω από το Νιου Τζέρσεϊ και άλλες περιοχές των βορειοανατολικών ΗΠΑ, τις τελευταίες εβδομάδες. Ανέφερε ότι δεν έχει στοιχεία που να αποδεικνύουν ότι προέρχονταν από ξένη οντότητα και δεν ήταν στρατιωτικά drones των ΗΠΑ.

Τα σχόλια έρχονται μια ημέρα μετά από μια ακρόαση στο Κογκρέσο που επικεντρώθηκε στην αυξανόμενη δραστηριότητα των drones στον αμερικανικό ουρανό.

Μάθετε περισσότερα για: Πεντάγωνο: Τι συμβαίνει με τα μυστήρια drones στο New Jersey
https://www.secnews.gr/634751/ti-leei-pentagono-gia-mistiriodi-drones-new-jersey/

00:00 Εισαγωγή
00:18 Δηλώσεις Πενταγώνου
00:59 Ακρόαση στο Κογκρέσο και FBI
01:35 Περιορισμοί, ανησυχίες και θεωρίες

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #drones #pentagon

Το Πεντάγωνο δήλωσε χθες ότι δεν γνωρίζει τι ακριβώς είναι αυτά τα μυστηριώδη drones που πετούσαν πάνω από το Νιου Τζέρσεϊ και άλλες περιοχές των βορειοανατολικών ΗΠΑ, τις τελευταίες εβδομάδες. Ανέφερε ότι δεν έχει στοιχεία που να αποδεικνύουν ότι προέρχονταν από ξένη οντότητα και δεν ήταν στρατιωτικά drones των ΗΠΑ.

Τα σχόλια έρχονται μια ημέρα μετά από μια ακρόαση στο Κογκρέσο που επικεντρώθηκε στην αυξανόμενη δραστηριότητα των drones στον αμερικανικό ουρανό.

Μάθετε περισσότερα για: Πεντάγωνο: Τι συμβαίνει με τα μυστήρια drones στο New Jersey
https://www.secnews.gr/634751/ti-leei-pentagono-gia-mistiriodi-drones-new-jersey/

00:00 Εισαγωγή
00:18 Δηλώσεις Πενταγώνου
00:59 Ακρόαση στο Κογκρέσο και FBI
01:35 Περιορισμοί, ανησυχίες και θεωρίες

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3Lnc3NGZfOW9mQmtj

Πεντάγωνο: Τι συμβαίνει με τα μυστήρια drones στο New Jersey

SecNewsTV 20 hours ago

GitHub

Οι κυνηγοί Bug bounty έλαβαν 14.500 $ για ZIP slips

Μεταξύ Ιουλίου και Αυγούστου του τρέχοντος έτους, οι ερευνητές ασφαλείας και οι κυνηγοί bug bounty Robert Chen και Philip Papurt εντόπισαν αυθαίρετες ευπάθειες εκτέλεσης κώδικα στα πακέτα ανοιχτού κώδικα Node.js, tar και @npmcli/arborist.

Με την ανακάλυψη αυτών των τρωτών σημείων, οι ερευνητές ειδοποίησαν ιδιωτικά το npm μέσω ενός από τα προγράμματα bug bounty του GitHub.

Σε περαιτέρω ανασκόπηση των αναφορών των ερευνητών, η ομάδα ασφαλείας του GitHub βρήκε κάποιες ευπάθειες υψηλότερης σοβαρότητας στα προαναφερθέντα πακέτα, που επηρεάζουν τόσο τα Windows όσο και τα συστήματα που βασίζονται σε Unix.

Το πακέτο tar του Node.js παραμένει ένα βασικό dependency για τους installers που πρέπει να αποσυσκευάσουν πακέτα npm μετά την εγκατάσταση. Το πακέτο χρησιμοποιείται επίσης από χιλιάδες άλλα projects ανοιχτού κώδικα και ως εκ τούτου δέχεται περίπου 20 εκατομμύρια λήψεις κάθε εβδομάδα. Το πακέτο arborist είναι ένα βασικό dependency που βασίζεται στο npm CLI και χρησιμοποιείται για τη διαχείριση των δέντρων node_modules.

Δείτε επίσης: GitHub bug bounty: Στα $ 1,5 εκατομμύρια έφτασαν οι αμοιβές ερευνητών

Αυτές οι ευπάθειες ZIP slip δημιουργούν πρόβλημα στους προγραμματιστές που εγκαθιστούν μη αξιόπιστα πακέτα npm χρησιμοποιώντας το npm CLI ή χρησιμοποιώντας “tar” για εξαγωγή μη αξιόπιστων πακέτων.

Από προεπιλογή, τα πακέτα npm αποστέλλονται ως αρχεία .tar.gz ή .tgz που είναι αρχεία τύπου ZIP και ως εκ τούτου πρέπει να εξαχθούν από τα εργαλεία εγκατάστασης.

Τα εργαλεία που εξάγουν αυτά τα αρχεία θα πρέπει ιδανικά να διασφαλίζουν ότι κακόβουλα paths μέσα στο αρχείο δεν καταλήγουν να αντικαταστήσουν υπάρχοντα αρχεία, ειδικά τα ευαίσθητα, στο filesystem.

Αλλά, λόγω των τρωτών σημείων που αναφέρονται παρακάτω, το πακέτο npm όταν εξάγεται θα μπορούσε να αντικαταστήσει αυθαίρετα αρχεία με τα προνόμια του χρήστη που εκτελεί την εντολή npm install:

  1. CVE-2021-32803
  2. CVE-2021-32804
  3. CVE-2021-37701
  4. CVE-2021-37712
  5. CVE-2021-37713
  6. CVE-2021-39134
  7. CVE-2021-39135

Η ομάδα GitHub Security ευχαρίστησε τόσο τον Chen όσο και τον Papurt για την αποκάλυψή τους και τους απένειμε συνολικό χρηματικό ποσό $ 14.500 για τις προσπάθειές τους να διατηρήσουν το GitHub ασφαλές.

Δείτε επίσης: GitHub: Οι developers θα ανεβάζουν βίντεο στα repositories τους

Το npm παροτρύνει τους χρήστες να διορθώσουν τα τρωτά σημεία

Το npm, που ανήκει στο GitHub, προτρέπει τους προγραμματιστές να διορθώσουν αυτά τα τρωτά σημεία το συντομότερο σε ένα tweet:

Οι προγραμματιστές θα πρέπει να αναβαθμίσουν τις tar dependency εκδόσεις σε 4.4.19, 5.0.11 ή 6.1.10 και να αναβαθμίσουν την έκδοση 2.8.2 @npmcli/arborist για να επιδιορθώσουν τα τρωτά σημεία.

Για npm CLI, οι εκδόσεις v6.14.15, v7.21.0 ή νεότερες περιέχουν την επιδιόρθωση. Επιπλέον, η έκδοση 12, 14 ή 16 του Node.js συνοδεύεται από την διορθωμένη έκδοση tar και μπορεί να αναβαθμιστεί με ασφάλεια, σύμφωνα με το GitHub.

Πλήρεις λεπτομέρειες που σχετίζονται με αυτές τις ευπάθειες είναι διαθέσιμες στη λεπτομερή ανάρτηση του GitHub.

Πηγή πληροφοριών: bleepingcomputer.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS