TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
มีประกาศแพตช์ใหม่จาก NPM ว่าพบช่องโหว่ที่ทำให้คนร้ายสามารถเข้าถึง Path ที่ไม่สมควรได้
NPM เป็นเครื่องมือที่ถูกใช้เพื่อบริหารจัดการแพ็กเกจสำหรับภาษา JavaScript โดยเฉพาะสำหรับ Node.js ที่โค้ดถูกรันนอกบราวน์เซอร์ซึ่งนักพัฒนาจะใช้ cli เข้ามาใช้งาน npm ทั้งนี้มีการพบช่องโหว่เกิดขึ้นกับ NPM เวอร์ชันก่อน 6.13.3 และ Yarn เวอร์ชันก่อน 1.21.1 ซึ่งปกติแล้วหากผู้ใช้งานเรียก include แพ็กเกจด้วย package.json จะมีกระบวนการ Map ชื่อคำสั่งไปยังไฟล์ภายใน ./node_modules/.bin/ และตามด้วยโพฟลเดอร์ของนักพัฒนาที่ทำให้ npm สามารถเขียนทับเป็นเวอร์ชันใหม่ได้
อย่างไรก็ตามช่องโหว่ทำให้แพ็กเกจที่ถูกติดตั้งระดับ Global สามารถเข้าไปเขียนทับไฟล์เป้าหมายใดๆ ภายใต้ /usr/local/bin ได้ นอกจากนี้ในส่วนของผู้ค้นพบยังเผยถึงช่องโหว่บน Bin-links เวอร์ชันก่อน 1.1.5 ว่าสามารถใช้ลอบเขียนไฟล์ได้ (Advisory) โดยช่องโหว่จากการเปิดเผยในครั้งนี้มีหมายเลขอ้างอิงคือ CVE-2019-16775, CVE-2019-16776 และ CVE-2019-16777 ผู้ใช้งานสามารถอัปเดตอุดช่องโหว่ได้แล้วในเวอร์ชัน 6.13.4 ครับ
ที่มา : https://blog.npmjs.org/post/189618601100/binary-planting-with-the-npm-cli และ https://nakedsecurity.sophos.com/2019/12/16/npm-patches-two-serious-bugs/
