พบช่องโหว่บน NPM แนะผู้ใช้งานเร่งอัปเดต

มีประกาศแพตช์ใหม่จาก NPM ว่าพบช่องโหว่ที่ทำให้คนร้ายสามารถเข้าถึง Path ที่ไม่สมควรได้

Credit: ShutterStock.com

NPM เป็นเครื่องมือที่ถูกใช้เพื่อบริหารจัดการแพ็กเกจสำหรับภาษา JavaScript โดยเฉพาะสำหรับ Node.js ที่โค้ดถูกรันนอกบราวน์เซอร์ซึ่งนักพัฒนาจะใช้ cli เข้ามาใช้งาน npm ทั้งนี้มีการพบช่องโหว่เกิดขึ้นกับ NPM เวอร์ชันก่อน 6.13.3 และ Yarn เวอร์ชันก่อน 1.21.1 ซึ่งปกติแล้วหากผู้ใช้งานเรียก include แพ็กเกจด้วย package.json จะมีกระบวนการ Map ชื่อคำสั่งไปยังไฟล์ภายใน ./node_modules/.bin/ และตามด้วยโพฟลเดอร์ของนักพัฒนาที่ทำให้ npm สามารถเขียนทับเป็นเวอร์ชันใหม่ได้

อย่างไรก็ตามช่องโหว่ทำให้แพ็กเกจที่ถูกติดตั้งระดับ Global สามารถเข้าไปเขียนทับไฟล์เป้าหมายใดๆ ภายใต้ /usr/local/bin ได้ นอกจากนี้ในส่วนของผู้ค้นพบยังเผยถึงช่องโหว่บน Bin-links เวอร์ชันก่อน 1.1.5 ว่าสามารถใช้ลอบเขียนไฟล์ได้ (Advisory) โดยช่องโหว่จากการเปิดเผยในครั้งนี้มีหมายเลขอ้างอิงคือ CVE-2019-16775CVE-2019-16776 และ CVE-2019-16777 ผู้ใช้งานสามารถอัปเดตอุดช่องโหว่ได้แล้วในเวอร์ชัน 6.13.4 ครับ

ที่มา :  https://blog.npmjs.org/post/189618601100/binary-planting-with-the-npm-cli และ  https://nakedsecurity.sophos.com/2019/12/16/npm-patches-two-serious-bugs/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

CISA พบบั๊ก Microsoft Outlook เพื่อโจมตี RCE ระบาดหนัก แนะเร่งอัปเดต

CISA ได้แจ้งเตือนหน่วยงานรัฐบาลกลางสหรัฐเพื่อให้ป้องกันระบบไอทีจากช่องโหว่ภายใน Microsoft Outlook ที่พบตั้งแต่ปีที่แล้วซึ่งอาจนำไปสู่การโจมตี Remote Code Execution (RCE) ได้นั้นกำลังระบาดหนัก แนะนำให้เร่งอัปเดตโดยเร่งด่วน

Cisco แก้ไขช่องโหว่ร้ายแรงบน ISE ที่อาจถูกใช้รันคำสั่งในระดับ Root

Cisco ออกแพตช์แก้ไขช่องโหว่ความปลอดภัยระดับ Critical จำนวน 2 รายการบนแพลตฟอร์ม Identity Services Engine (ISE) ซึ่งอาจถูกใช้เพื่อยกระดับสิทธิ์และรันคำสั่งในระดับ Root ได้