Среда, 1 июля, 10:57
дома безопасность Npm: обновите JavaScript, чтобы избежать ошибки Binary Planting

Npm: обновите JavaScript, чтобы избежать ошибки Binary Planting

НПМ

Npm призывает пользователей обновить пакеты JavaScript которые они используют в последней версии (6.13.4), чтобы избежать атак «Binary Planting».

Если вы не знали, компания является основным администратором Node.js - фреймворка для кода JavaScript, который работает вне браузера или сервер и позволяет вам управлять пакетами npm через интерфейс CLI.

Служба утверждает, что есть один ошибка безопасность клиента CLI npm, которая может сделать систему уязвимой для атак с бинарной посадкой. Эта неисправность может быть использована злоумышленником только во время установки пакета npm через интерфейс командной строки npm.

Были выявлены две уязвимости

В одном проводка его, немецкий исследователь безопасности Даниэль Руф, говорит, что он идентифицировал два уязвимости в CLI npm, которые были обозначены как CVE-2019-16775, 16776 и 16777.

Чтобы включить сервисные пакеты npm в код, разработчики перечисляют их в файле package.json, а более конкретно в поле bin. Все записи в этом поле указывают на команду в локальном имени файла в каталоге ./node_modules/.bin/ в папке проекта разработчика. В рамках управленческой деятельности npm может заменить эти файлы новыми выпусками.

На данный момент, это одна ошибка, которая может позволить атаку, известную как бинарная установка. Версии до 6.13.3 позволяют пакетам получать доступ к папкам за пределами предполагаемой папки, манипулируя путями в поле bin.

Таким образом, хакер может заменить файл вредоносным в любом месте система или создайте новый файл с нуля.

Вторая ошибка была обнаружена в bin-links (пакет npm, который управляет ссылками из поля bin на файл в ./node_modules/.bin/, который также присутствует в CLI npm).

Сим-ссылка (символическая ссылка) используется для управления этими файлами. это дефект Bin-links заключается в том, что он позволяет пакетам заменять символические ссылки, даже если они этого не сделали.

Однако, чтобы осуществить это нападение, г-н хакер он должен убедить пользователя установить файл, манипулируя полем bin. Хотя не так вероятно, это все же возможно.

Есть решение

Компания исправила эти проблемы и призывает их пользователи немедленно обновить свой CLI npm до версии 6.13.4. Также полезно проверить поле bin файлов package.json в вашем проекте на наличие подозрительных путей к файлам.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Отсутствующая Миа
Отсутствующая Миаhttps://www.secnews.gr
Быть самим собой в мире, который постоянно пытается изменить вас, является вашим величайшим достижением

LIVE NEWS

Американская страховая компания выявила нарушение данных

Страховая компания в Ватерлоо, Канада, сообщила, что стала жертвой хакерской атаки, в результате которой ...

Microsoft: обновления безопасности для уязвимостей в кодеках Windows

Вчера Microsoft выпустила два обновления безопасности (которые не были запланированы), чтобы исправить две уязвимости, которые ...

Корпорация Xerox: атакована Maze Ransomware

Хакеры из-за вымогателей Maze добавили еще одну жертву в свой список. Новая жертва ...
00: 05: 10

Google: как защитить ваши личные данные

Google собирает гораздо больше персональных данных для своих пользователей, чем вы думаете. Компания записывает каждый поиск, который ...

ЕС: Для каких стран завтра откроют свои границы? США вне списка!

Большинству американских путешественников будет запрещено входить в Европейский Союз с завтрашнего дня, 1 июля, когда граница откроется ...

Rolling Rhino: инструмент для конвертации Ubuntu Linux в «Rolling Release»

Сегодня операционные системы постоянно развиваются. Почти каждый день выпускаются новые обновления и улучшения. Для него ...

Google: удалите 25 приложений для Android, которые украли учетные данные Facebook!

В этом месяце Google удалил 25 приложений Android из своего Play Store, так как оказалось, что они крали учетные данные Facebook. Эти...

Ransomware Hakbit: целевые компании в Германии, Австрии и Швейцарии

Исследователи Proofpoint определили небольшую кампанию по вымогательству с помощью электронной почты, ориентированной на организации / компании в Австрии, Швейцарии и ...

Уязвимости драйверов облегчают атаку банкоматов и PoS

Как объявляет охранная компания Eclypsium, уязвимости, обнаруженные в программах драйверов, могут способствовать атакам на банкоматы и машины ...

Бизнес: разработка многих инструментов безопасности скрывает риски!

Предприятия, стремясь немедленно и эффективно реагировать на инциденты в области кибербезопасности, вкладывают средства в слишком много инструментов, которые могут ...