พบช่องโหว่บน NPM แนะผู้ใช้งานเร่งอัปเดต

มีประกาศแพตช์ใหม่จาก NPM ว่าพบช่องโหว่ที่ทำให้คนร้ายสามารถเข้าถึง Path ที่ไม่สมควรได้

Credit: ShutterStock.com

NPM เป็นเครื่องมือที่ถูกใช้เพื่อบริหารจัดการแพ็กเกจสำหรับภาษา JavaScript โดยเฉพาะสำหรับ Node.js ที่โค้ดถูกรันนอกบราวน์เซอร์ซึ่งนักพัฒนาจะใช้ cli เข้ามาใช้งาน npm ทั้งนี้มีการพบช่องโหว่เกิดขึ้นกับ NPM เวอร์ชันก่อน 6.13.3 และ Yarn เวอร์ชันก่อน 1.21.1 ซึ่งปกติแล้วหากผู้ใช้งานเรียก include แพ็กเกจด้วย package.json จะมีกระบวนการ Map ชื่อคำสั่งไปยังไฟล์ภายใน ./node_modules/.bin/ และตามด้วยโพฟลเดอร์ของนักพัฒนาที่ทำให้ npm สามารถเขียนทับเป็นเวอร์ชันใหม่ได้

อย่างไรก็ตามช่องโหว่ทำให้แพ็กเกจที่ถูกติดตั้งระดับ Global สามารถเข้าไปเขียนทับไฟล์เป้าหมายใดๆ ภายใต้ /usr/local/bin ได้ นอกจากนี้ในส่วนของผู้ค้นพบยังเผยถึงช่องโหว่บน Bin-links เวอร์ชันก่อน 1.1.5 ว่าสามารถใช้ลอบเขียนไฟล์ได้ (Advisory) โดยช่องโหว่จากการเปิดเผยในครั้งนี้มีหมายเลขอ้างอิงคือ CVE-2019-16775CVE-2019-16776 และ CVE-2019-16777 ผู้ใช้งานสามารถอัปเดตอุดช่องโหว่ได้แล้วในเวอร์ชัน 6.13.4 ครับ

ที่มา :  https://blog.npmjs.org/post/189618601100/binary-planting-with-the-npm-cli และ  https://nakedsecurity.sophos.com/2019/12/16/npm-patches-two-serious-bugs/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …