• IT-Karriere:
  • Services:

Javascript: Node-Pakete können Binärdateien unterjubeln

Eine Sicherheitslücke in den Paketmanangern für Node.js, NPM und Yarn, ermöglicht das Unterschieben und Manipulieren von Binärdateien auf dem Client-System. Updates stehen bereit.

Artikel veröffentlicht am ,
Das NPM-Maskottchen ist ein Wombat.
Das NPM-Maskottchen ist ein Wombat. (Bild: Phil Whitehouse, Flickr.com/CC-BY 2.0)

Für die Kommandozeilenwerkzeuge zur Verwaltung von Node.js-Paketen, Yarn und NPM, stehen Updates bereit, die eine Sicherheitslücke beheben. Die Lücke könnte durch Angreifer mit Hilfe eines speziell manipulierten Node.js-Pakets dazu genutzt werden, Dateien auf dem Client-System zu verändern.

Stellenmarkt
  1. Münchener Rückversicherungs-Gesellschaft Aktiengesellschaft in München, München
  2. InnoGames GmbH, Hamburg

Wie das NPM-Unternehmen in seiner Ankündigung schreibt, reichten dafür speziell erstellte Einträge für das bin-Attribut in der Datei package.json aus. Diese Datei beschreibt die wichtigsten Eigenschaften eines Node.js-Pakets. Das bin-Attribut verweist dabei - wie der Name sagt - auf ausführbare Dateien.

Der Entdecker der Lücken, Daniel Ruf, beschreibt das Vorgehen in seinem Blog näher. Demnach ist es möglich gewesen, für das bin-Attribut beliebige Dateipfade auf dem System anzugeben sowie damit verknüpfte Dateien (Symlink). Laut der Erklärung könnten Angreifer so Zugriff auf Dateien außerhalb des node_modules-Ordners erhalten, Binärdateien mit eigenen Skripten ersetzen oder Dateien mit Rechten des Nutzer erstellen, der den Paketmanager ausführt.

Updates für diese Lücken werden mit NPM 6.13.4 sowie Yarn 1.21.1 angeboten. Das NPM-Unternehmen schreibt in seiner Ankündigung darüber hinaus, dass für eine erfolgreiche Ausnutzung der Lücke Nutzer zwar erst dazu gebracht werden müssten, manipulierte Pakete zu installieren.

"Wie wir in der Vergangenheit gesehen haben, ist dies jedoch keine unüberwindliche Barriere", heißt es dazu weiter. Das Unternehmen habe darüber hinaus die NPM-Registry nach Paketen untersucht, die diese Lücken ausnutzen und keine gefunden. Dies bedeute jedoch nicht, dass das in der Vergangenheit nicht passiert sei. Die derzeit in der Registry verfügbaren Pakete nutzten die Lücke aber nicht aus und sind insofern sicher.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (aktuell u. a. Xiaomi Mi 9 128 GB Ocean Blue für 369,00€ und Deepcool Matrexx 55 V3 Tower...
  2. 90,99€ (Bestpreis)
  3. (u. a. 256GB microSDXC für 52,99€, 128GB für 24,39€ und 512 GB für 114,99€)

Keto 16. Dez 2019 / Themenstart

Hier das gleiche in NuGet: https://www.nuget.org/packages/IntegerHelper/ Und hier in...

Kommentieren


Folgen Sie uns
       


Lenovo Thinkpad X1 Fold angesehen (CES 2020)

Das Tablet mit faltbarem Display läuft mit Windows 10X und soll Mitte 2020 in den Handel kommen.

Lenovo Thinkpad X1 Fold angesehen (CES 2020) Video aufrufen
IT-Gehälter: Je nach Branche bis zu 1.000 Euro mehr
IT-Gehälter
Je nach Branche bis zu 1.000 Euro mehr

Wechselt ein ITler in eine andere Branche, sind auf dem gleichen Posten bis zu 1.000 Euro pro Monat mehr drin. Welche Industrien die höchsten und welche die niedrigsten Gehälter zahlen: Wir haben die Antworten auf diese Fragen - auch darauf, wie sich die Einkommen 2020 entwickeln werden.
Von Peter Ilg

  1. Softwareentwickler Der Fachkräftemangel zeigt sich nicht an den Gehältern

SpaceX: Der Weg in den Weltraum ist frei
SpaceX
Der Weg in den Weltraum ist frei

Das Raumschiff hob noch ohne Besatzung ab, aber der Testflug war ein voller Erfolg. Der Crew Dragon von SpaceX hat damit seine letzte große Bewährungsprobe bestanden, bevor die Astronauten auch mitfliegen dürfen.
Ein Bericht von Frank Wunderlich-Pfeiffer

  1. Raumfahrt SpaceX macht Sicherheitstest bei höchster Belastung
  2. Raumfahrt SpaceX testet dunkleren Starlink-Satelliten
  3. SpaceX Starship platzt bei Tanktest

Europäische Netzpolitik: Die Rückkehr des Axel Voss
Europäische Netzpolitik
Die Rückkehr des Axel Voss

Elektronische Beweismittel, Nutzertracking, Terrorinhalte: In der EU stehen in diesem Jahr wichtige netzpolitische Entscheidungen an. Auch Axel Voss will wieder mitmischen. Und wird Ursula von der Leyen mit dem "Digitale-Dienste-Gesetz" wieder zu "Zensursula"?
Eine Analyse von Friedhelm Greis

  1. Mitgliederentscheid Netzpolitikerin Esken wird SPD-Chefin
  2. Nach schwerer Krankheit FDP-Netzpolitiker Jimmy Schulz gestorben

    •  /