Η ομάδα ασφάλειας του GitHub εντόπισε πολλές ευπάθειες υψηλής σοβαρότητας σε πακέτα npm, “tar” και “@npmcli/arborist”, που χρησιμοποιούνται από το npm CLI.
Το πακέτο tar έχει κατά μέσο όρο 20 εκατομμύρια εβδομαδιαίες λήψεις, ενώ το arborist γίνεται download πάνω από 300.000 φορές κάθε εβδομάδα.
Οι ευπάθειες επηρεάζουν τόσο τους χρήστες Windows όσο και τους χρήστες που βασίζονται στο Unix, και αν δεν επιλυθούν, μπορούν να αξιοποιηθούν από τους χάκερ για να επιτύχουν αυθαίρετη εκτέλεση κώδικα σε ένα σύστημα που εγκαθιστά μη αξιόπιστα πακέτα npm.
Δείτε επίσης: Copilot: Το νέο AI εργαλείο δημιουργίας κώδικα από GitHub και OpenAI
Οι κυνηγοί Bug bounty έλαβαν 14.500 $ για ZIP slips
Μεταξύ Ιουλίου και Αυγούστου του τρέχοντος έτους, οι ερευνητές ασφαλείας και οι κυνηγοί bug bounty Robert Chen και Philip Papurt εντόπισαν αυθαίρετες ευπάθειες εκτέλεσης κώδικα στα πακέτα ανοιχτού κώδικα Node.js, tar και @npmcli/arborist.
Με την ανακάλυψη αυτών των τρωτών σημείων, οι ερευνητές ειδοποίησαν ιδιωτικά το npm μέσω ενός από τα προγράμματα bug bounty του GitHub.
Σε περαιτέρω ανασκόπηση των αναφορών των ερευνητών, η ομάδα ασφαλείας του GitHub βρήκε κάποιες ευπάθειες υψηλότερης σοβαρότητας στα προαναφερθέντα πακέτα, που επηρεάζουν τόσο τα Windows όσο και τα συστήματα που βασίζονται σε Unix.
Το πακέτο tar του Node.js παραμένει ένα βασικό dependency για τους installers που πρέπει να αποσυσκευάσουν πακέτα npm μετά την εγκατάσταση. Το πακέτο χρησιμοποιείται επίσης από χιλιάδες άλλα projects ανοιχτού κώδικα και ως εκ τούτου δέχεται περίπου 20 εκατομμύρια λήψεις κάθε εβδομάδα. Το πακέτο arborist είναι ένα βασικό dependency που βασίζεται στο npm CLI και χρησιμοποιείται για τη διαχείριση των δέντρων node_modules.
Δείτε επίσης: GitHub bug bounty: Στα $ 1,5 εκατομμύρια έφτασαν οι αμοιβές ερευνητών
Αυτές οι ευπάθειες ZIP slip δημιουργούν πρόβλημα στους προγραμματιστές που εγκαθιστούν μη αξιόπιστα πακέτα npm χρησιμοποιώντας το npm CLI ή χρησιμοποιώντας “tar” για εξαγωγή μη αξιόπιστων πακέτων.
Από προεπιλογή, τα πακέτα npm αποστέλλονται ως αρχεία .tar.gz ή .tgz που είναι αρχεία τύπου ZIP και ως εκ τούτου πρέπει να εξαχθούν από τα εργαλεία εγκατάστασης.
Τα εργαλεία που εξάγουν αυτά τα αρχεία θα πρέπει ιδανικά να διασφαλίζουν ότι κακόβουλα paths μέσα στο αρχείο δεν καταλήγουν να αντικαταστήσουν υπάρχοντα αρχεία, ειδικά τα ευαίσθητα, στο filesystem.
Αλλά, λόγω των τρωτών σημείων που αναφέρονται παρακάτω, το πακέτο npm όταν εξάγεται θα μπορούσε να αντικαταστήσει αυθαίρετα αρχεία με τα προνόμια του χρήστη που εκτελεί την εντολή npm install:
Η ομάδα GitHub Security ευχαρίστησε τόσο τον Chen όσο και τον Papurt για την αποκάλυψή τους και τους απένειμε συνολικό χρηματικό ποσό $ 14.500 για τις προσπάθειές τους να διατηρήσουν το GitHub ασφαλές.
Δείτε επίσης: GitHub: Οι developers θα ανεβάζουν βίντεο στα repositories τους
Το npm παροτρύνει τους χρήστες να διορθώσουν τα τρωτά σημεία
Το npm, που ανήκει στο GitHub, προτρέπει τους προγραμματιστές να διορθώσουν αυτά τα τρωτά σημεία το συντομότερο σε ένα tweet:
Οι προγραμματιστές θα πρέπει να αναβαθμίσουν τις tar dependency εκδόσεις σε 4.4.19, 5.0.11 ή 6.1.10 και να αναβαθμίσουν την έκδοση 2.8.2 @npmcli/arborist για να επιδιορθώσουν τα τρωτά σημεία.
Για npm CLI, οι εκδόσεις v6.14.15, v7.21.0 ή νεότερες περιέχουν την επιδιόρθωση. Επιπλέον, η έκδοση 12, 14 ή 16 του Node.js συνοδεύεται από την διορθωμένη έκδοση tar και μπορεί να αναβαθμιστεί με ασφάλεια, σύμφωνα με το GitHub.
Πλήρεις λεπτομέρειες που σχετίζονται με αυτές τις ευπάθειες είναι διαθέσιμες στη λεπτομερή ανάρτηση του GitHub.
Πηγή πληροφοριών: bleepingcomputer.com
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/365174/github-vriskei-efpatheies-tar-npm-cli/&media=https://cdn.secnews.gr/cb:90j0~424ea/w:auto/h:auto/q:mauto/ig:avif/f:best/id:38efd0266e9d807febaf71202ad02bd9/https://www.secnews.gr/github-cover.jpg&description=Η ομάδα ασφάλειας του GitHub εντόπισε πολλές ευπάθειες υψηλής σοβαρότητας σε πακέτα npm, "tar" και "@npmcli/arborist", που χρησιμοποιούνται){kind=link}