GitHub ontdekte zeven kwetsbaarheden in Node.js-pakketten


Het versiebeheer GitHub heeft tussen 21 juli en 13 augustus 2021 informatie ontvangen over beveiligingslekken in de Node.js-pakketten in een van hun bug bounty-programma’s tar en @npmcli/arborist. Volgens GitHub zijn ontwikkelaars aan het laden tar Miljoenen keren per week, vooral omdat het de belangrijkste afhankelijkheid is van duizenden andere projecten. @npmcli/arborist is een kernafhankelijkheid van de npm CLI en wordt gebruikt voor het beheer van node_modules– Bomen voor gebruik.

De npm CLI is bedoeld om ervoor te zorgen dat de inhoud van een pakket alleen wordt opgeslagen in de bijbehorende map binnen de node_modules-Land directory hiërarchie. Sommige van de gevonden kwetsbaarheden kunnen deze limiet echter overschrijden: Bij gebruik van tar onbetrouwbaar eruit halen tarBestanden en wanneer de npm CLI wordt gebruikt om niet-vertrouwde npm-pakketten te installeren, kunnen ze leiden tot het onverwacht overschrijven van bestanden en het uitvoeren van willekeurige code.

Na verder onderzoek heeft GitHub in totaal zeven Common Vulnerabilities and Exposures (CVE) gerelateerd aan tar en @npmcli/arborist bekend gemaakt:

GitHub, die een jaar geleden de JavaScript-pakketbeheerder npm overnam en Maakt sinds 2018 deel uit van Microsoft, introduceerde fixes voor de kwetsbaarheden en stuurde 16,7 miljoen Dependabot-waarschuwingen en 1,8 miljoen meldingen naar getroffen gebruikers.

De GitHub-blog bevat ook specifieke instructies afhankelijk van de situatie, bijvoorbeeld vier van de CVE’s hebben betrekking op de npm CLI. Aan de andere kant zou een upgrade van de npm CLI naar versie 6.14.15, 7.21.0 of hoger moeten helpen. Iedereen die Node.js gebruikt voor de installatie van npm, moet: de nieuwste versie van Node.js 12, 14 of 16 installeren, en wie? tar– Afhankelijkheidsgebruik zou moeten tar Update naar versie 4.4.19, 5.0.11, 6.1.10 of hoger. Door de afschaffing van de 3-tak van tar Versie 6 moet worden gebruikt.

Het npm-team ook reageerde met een tweet, waarin het npm-gebruikers vraagt ​​om Node.js bij te werken naar versie 12, 14 of 16 of npm naar versie 6 of 7, evenals alle afhankelijkheden naar tar.

Meer achtergrondinformatie en details over alle CVE’s biedt de GitHub-blog.


(Kunnen)





Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: