Javascript: Node-Pakete können Binärdateien unterjubeln

Eine Sicherheitslücke in den Paketmanangern für Node.js, NPM und Yarn, ermöglicht das Unterschieben und Manipulieren von Binärdateien auf dem Client-System. Updates stehen bereit.

Artikel veröffentlicht am ,
Das NPM-Maskottchen ist ein Wombat.
Das NPM-Maskottchen ist ein Wombat. (Bild: Phil Whitehouse, Flickr.com/CC-BY 2.0)

Für die Kommandozeilenwerkzeuge zur Verwaltung von Node.js-Paketen, Yarn und NPM, stehen Updates bereit, die eine Sicherheitslücke beheben. Die Lücke könnte durch Angreifer mit Hilfe eines speziell manipulierten Node.js-Pakets dazu genutzt werden, Dateien auf dem Client-System zu verändern.

Stellenmarkt
  1. Fachberaterin / Projektmitarbeiterin DMS (m/w/d)
    Hannoversche Informationstechnologien AöR (hannIT), Hannover
  2. IT-Koordination und Teamleitung (w/m/d)
    Hochschule für Musik Freiburg i. Br., Freiburg
Detailsuche

Wie das NPM-Unternehmen in seiner Ankündigung schreibt, reichten dafür speziell erstellte Einträge für das bin-Attribut in der Datei package.json aus. Diese Datei beschreibt die wichtigsten Eigenschaften eines Node.js-Pakets. Das bin-Attribut verweist dabei - wie der Name sagt - auf ausführbare Dateien.

Der Entdecker der Lücken, Daniel Ruf, beschreibt das Vorgehen in seinem Blog näher. Demnach ist es möglich gewesen, für das bin-Attribut beliebige Dateipfade auf dem System anzugeben sowie damit verknüpfte Dateien (Symlink). Laut der Erklärung könnten Angreifer so Zugriff auf Dateien außerhalb des node_modules-Ordners erhalten, Binärdateien mit eigenen Skripten ersetzen oder Dateien mit Rechten des Nutzer erstellen, der den Paketmanager ausführt.

Updates für diese Lücken werden mit NPM 6.13.4 sowie Yarn 1.21.1 angeboten. Das NPM-Unternehmen schreibt in seiner Ankündigung darüber hinaus, dass für eine erfolgreiche Ausnutzung der Lücke Nutzer zwar erst dazu gebracht werden müssten, manipulierte Pakete zu installieren.

Golem Akademie
  1. Webentwicklung mit React and Typescript
    6.-10. Dezember 2021, online
  2. Kotlin für Java-Entwickler
    14.-15. Oktober 2021, online
  3. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
Weitere IT-Trainings

"Wie wir in der Vergangenheit gesehen haben, ist dies jedoch keine unüberwindliche Barriere", heißt es dazu weiter. Das Unternehmen habe darüber hinaus die NPM-Registry nach Paketen untersucht, die diese Lücken ausnutzen und keine gefunden. Dies bedeute jedoch nicht, dass das in der Vergangenheit nicht passiert sei. Die derzeit in der Registry verfügbaren Pakete nutzten die Lücke aber nicht aus und sind insofern sicher.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Microsoft
Das nächste große Update für Windows 10 kommt im November

Die Version 21H2 wurde wohl auch wegen Windows 11 etwas nach hinten verschoben. Der Patch soll nun aber im November für Windows 10 kommen.

Microsoft: Das nächste große Update für Windows 10 kommt im November
Artikel
  1. Truth Social: Trumps soziales Netz bekommt Probleme mit Hackern und Lizenz
    Truth Social
    Trumps soziales Netz bekommt Probleme mit Hackern und Lizenz

    Hacker starten in Trumps-Netzwerk einen "Online-Krieg gegen Hass" mit Memes. Der Code scheint illegal von Mastodon übernommen worden zu sein.

  2. Silence S04: Günstiges Elektroauto mit herausnehmbaren Akku vorgestellt
    Silence S04
    Günstiges Elektroauto mit herausnehmbaren Akku vorgestellt

    Beim Elektroauto Silence S04 kann der Nutzer den Akku selbst wechseln, wenn dieser leergefahren ist.

  3. Alexa, Siri, Google: Bericht listet von Sprachassistenten gesammelte Daten auf
    Alexa, Siri, Google
    Bericht listet von Sprachassistenten gesammelte Daten auf

    Fünf Sprachassistenten reagieren auf menschliche Kommandos, sammeln aber auch viele Daten über Personen und Geräte - etwa Browserverläufe.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • AOC CQ32G2SE/BK 285,70€ • Dell Alienware AW2521H 360 Hz 499€ • Corsair Vengeance RGB PRO SL 64-GB-Kit 3600 253,64€ • DeepCool Castle 360EX 109,90€ • Phanteks Glacier One 240MP 105,89€ • Seagate SSDs & HDDs günstiger • Alternate (u. a. Thermaltake Core P3 TG Snow Ed. 121,89€) [Werbung]
    •  /