WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
443 bài viết
Npm vá lỗ hổng cho phép truy cập file của người dùng
Thư viện lập trình JavaScript npm vừa được phát hiện tồn tại thấy lỗ hổng cho phép publisher truy cập vào các file trên hệ thống người dùng.
Lỗ hổng ảnh hưởng tới các phiên bản trước 6.13.3 của npm và trước 1.21.1 của yarn, và có thể bị khai thác thông qua một entry được chế tạo đặc biệt trong trường package.json bin field. Lỗ hổng được khắc phục trên npm v6.13.4.
Bằng việc khai thác lỗ hổng, kẻ tấn công có thể sửa và/ hoặc có quyền truy cập các file tùy ý trên hệ thống người dùng khi gói khai thác được cài đặt.
Ngoài ra, trong các phiên bản npm bị ảnh hưởng và tất cả các phiên bản của yarn, gói được cài đặt toàn cầu với entry nhị phân có thể ghi đè lên tệp nhị phân có trong vị trí cài đặt đích (về cơ bản là bất kì file nào trong /usr/local/bin).
Tuy nhiên, để khai thác hacker cần phải thuyết phục nạn nhân cài đặt gói chứa entry do hacker tạo ra.
Nhóm bảo mật của npm đã quét registry và không tìm thấy gói đã được xuất bản nào có chứa thành phần khai thác của hacker. Dù điều đó không đảm bảo rằng chưa có cuộc tấn công thực tế nào khai thác lỗ hổng này, nhưng ít nhất nó chưa được sử dụng trên các gói được xuất bản trong registry.
Để xử lý lỗ hổng, các thư viện phân tích cú pháp package.json được npm sử dụng cần được cập nhật để cải thiện và xác thực tất cả các mục trong trường bin. Do đó, dấu gạch chéo, cùng với . và .. đều bị xóa bỏ, và áp dụng tương tự cho các đường thoát dẫn (path escape) khác.
Ngoài ra, tập lệnh bin liên kết các thư viện trong npm v6.13.4 đã được cập nhật, chỉ để ghi đè lên các tệp nhị phân có sẵn được cài đặt thay cho gói tương tự.
Nhóm bảo mật npm đã xem xét cả hai bản vá và đánh giá hai lỗ hổng đã được vá thành công.
Lỗ hổng ảnh hưởng tới các phiên bản trước 6.13.3 của npm và trước 1.21.1 của yarn, và có thể bị khai thác thông qua một entry được chế tạo đặc biệt trong trường package.json bin field. Lỗ hổng được khắc phục trên npm v6.13.4.
Bằng việc khai thác lỗ hổng, kẻ tấn công có thể sửa và/ hoặc có quyền truy cập các file tùy ý trên hệ thống người dùng khi gói khai thác được cài đặt.
Ngoài ra, trong các phiên bản npm bị ảnh hưởng và tất cả các phiên bản của yarn, gói được cài đặt toàn cầu với entry nhị phân có thể ghi đè lên tệp nhị phân có trong vị trí cài đặt đích (về cơ bản là bất kì file nào trong /usr/local/bin).
Tuy nhiên, để khai thác hacker cần phải thuyết phục nạn nhân cài đặt gói chứa entry do hacker tạo ra.
Nhóm bảo mật của npm đã quét registry và không tìm thấy gói đã được xuất bản nào có chứa thành phần khai thác của hacker. Dù điều đó không đảm bảo rằng chưa có cuộc tấn công thực tế nào khai thác lỗ hổng này, nhưng ít nhất nó chưa được sử dụng trên các gói được xuất bản trong registry.
Để xử lý lỗ hổng, các thư viện phân tích cú pháp package.json được npm sử dụng cần được cập nhật để cải thiện và xác thực tất cả các mục trong trường bin. Do đó, dấu gạch chéo, cùng với . và .. đều bị xóa bỏ, và áp dụng tương tự cho các đường thoát dẫn (path escape) khác.
Ngoài ra, tập lệnh bin liên kết các thư viện trong npm v6.13.4 đã được cập nhật, chỉ để ghi đè lên các tệp nhị phân có sẵn được cài đặt thay cho gói tương tự.
Nhóm bảo mật npm đã xem xét cả hai bản vá và đánh giá hai lỗ hổng đã được vá thành công.
Theo Securityweek