• IT-Karriere:
  • Services:

Javascript: Node-Pakete können Binärdateien unterjubeln

Eine Sicherheitslücke in den Paketmanangern für Node.js, NPM und Yarn, ermöglicht das Unterschieben und Manipulieren von Binärdateien auf dem Client-System. Updates stehen bereit.

Artikel veröffentlicht am ,
Das NPM-Maskottchen ist ein Wombat.
Das NPM-Maskottchen ist ein Wombat. (Bild: Phil Whitehouse, Flickr.com/CC-BY 2.0)

Für die Kommandozeilenwerkzeuge zur Verwaltung von Node.js-Paketen, Yarn und NPM, stehen Updates bereit, die eine Sicherheitslücke beheben. Die Lücke könnte durch Angreifer mit Hilfe eines speziell manipulierten Node.js-Pakets dazu genutzt werden, Dateien auf dem Client-System zu verändern.

Stellenmarkt
  1. Stadtwerke München GmbH, München
  2. CeMM, Wien (Österreich)

Wie das NPM-Unternehmen in seiner Ankündigung schreibt, reichten dafür speziell erstellte Einträge für das bin-Attribut in der Datei package.json aus. Diese Datei beschreibt die wichtigsten Eigenschaften eines Node.js-Pakets. Das bin-Attribut verweist dabei - wie der Name sagt - auf ausführbare Dateien.

Der Entdecker der Lücken, Daniel Ruf, beschreibt das Vorgehen in seinem Blog näher. Demnach ist es möglich gewesen, für das bin-Attribut beliebige Dateipfade auf dem System anzugeben sowie damit verknüpfte Dateien (Symlink). Laut der Erklärung könnten Angreifer so Zugriff auf Dateien außerhalb des node_modules-Ordners erhalten, Binärdateien mit eigenen Skripten ersetzen oder Dateien mit Rechten des Nutzer erstellen, der den Paketmanager ausführt.

Updates für diese Lücken werden mit NPM 6.13.4 sowie Yarn 1.21.1 angeboten. Das NPM-Unternehmen schreibt in seiner Ankündigung darüber hinaus, dass für eine erfolgreiche Ausnutzung der Lücke Nutzer zwar erst dazu gebracht werden müssten, manipulierte Pakete zu installieren.

"Wie wir in der Vergangenheit gesehen haben, ist dies jedoch keine unüberwindliche Barriere", heißt es dazu weiter. Das Unternehmen habe darüber hinaus die NPM-Registry nach Paketen untersucht, die diese Lücken ausnutzen und keine gefunden. Dies bedeute jedoch nicht, dass das in der Vergangenheit nicht passiert sei. Die derzeit in der Registry verfügbaren Pakete nutzten die Lücke aber nicht aus und sind insofern sicher.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. täglich neue Deals bei Alternate.de

Keto 16. Dez 2019

Hier das gleiche in NuGet: https://www.nuget.org/packages/IntegerHelper/ Und hier in...


Folgen Sie uns
       


Samsung Galaxy S20 Ultra - Test

Das Galaxy S20 Ultra ist Samsungs Topmodell der Galaxy-S20-Reihe. Der südkoreanische Hersteller verbaut erstmals seinen 108-Megapixel-Kamerasensor - im Test haben wir uns aber mehr davon versprochen.

Samsung Galaxy S20 Ultra - Test Video aufrufen
Drohnen in der Stadt: Schneller als jeder Rettungswagen
Drohnen in der Stadt
Schneller als jeder Rettungswagen

Im Hamburg wird getestet, wie sich Drohnen in Städten einsetzen lassen. Unter anderem entsteht hier ein Drohnensystem, das Ärzten helfen soll.
Ein Bericht von Friedrich List

  1. Umweltschutz Schifffahrtsamt will Abgasverstöße mit Drohnen verfolgen
  2. Coronakrise Drohnen liefern Covid-19-Tests auf schottische Insel
  3. Luftfahrt Baden-Württemberg testet Lufttaxis und Drohnen

LG Gram 14Z90N im Test: Die Feder ist mächtiger als das Schwert
LG Gram 14Z90N im Test
Die Feder ist mächtiger als das Schwert

Das Gram 14 ist das Deutschlanddebüt von LG. Es wiegt knapp 1 kg und kann durch lange Akkulaufzeit statt roher Leistung punkten.
Ein Test von Oliver Nickel

  1. HP Probook 445/455 G7 Business-Notebooks mit Renoir leuchten effizient hell
  2. Dynabook Das Tecra X-50 hat eine alte CPU, aber viele neue Anschlüsse

Zhaoxin KX-U6780A im Test: Das kann Chinas x86-Prozessor
Zhaoxin KX-U6780A im Test
Das kann Chinas x86-Prozessor

Nicht nur AMD und Intel entwickeln x86-Chips, sondern auch Zhaoxin. Deren Achtkern-CPU fasziniert uns trotz oder gerade wegen ihrer Schwächen.
Ein Test von Marc Sauter und Sebastian Grüner

  1. KH-40000 & KX-7000 Zhaoxin plant x86-Chips mit 32 Kernen

    •  /