Javascript: Node-Pakete können Binärdateien unterjubeln

Eine Sicherheitslücke in den Paketmanangern für Node.js, NPM und Yarn, ermöglicht das Unterschieben und Manipulieren von Binärdateien auf dem Client-System. Updates stehen bereit.

Artikel veröffentlicht am ,
Das NPM-Maskottchen ist ein Wombat.
Das NPM-Maskottchen ist ein Wombat. (Bild: Phil Whitehouse, Flickr.com/CC-BY 2.0)

Für die Kommandozeilenwerkzeuge zur Verwaltung von Node.js-Paketen, Yarn und NPM, stehen Updates bereit, die eine Sicherheitslücke beheben. Die Lücke könnte durch Angreifer mit Hilfe eines speziell manipulierten Node.js-Pakets dazu genutzt werden, Dateien auf dem Client-System zu verändern.

Stellenmarkt
  1. Automation Engineer (m/w/d)
    Packsize GmbH, deutschlandweit (Home-Office)
  2. SAP Job - SAP BW / 4HANA Berater (m/w/x)
    über duerenhoff GmbH, München
Detailsuche

Wie das NPM-Unternehmen in seiner Ankündigung schreibt, reichten dafür speziell erstellte Einträge für das bin-Attribut in der Datei package.json aus. Diese Datei beschreibt die wichtigsten Eigenschaften eines Node.js-Pakets. Das bin-Attribut verweist dabei - wie der Name sagt - auf ausführbare Dateien.

Der Entdecker der Lücken, Daniel Ruf, beschreibt das Vorgehen in seinem Blog näher. Demnach ist es möglich gewesen, für das bin-Attribut beliebige Dateipfade auf dem System anzugeben sowie damit verknüpfte Dateien (Symlink). Laut der Erklärung könnten Angreifer so Zugriff auf Dateien außerhalb des node_modules-Ordners erhalten, Binärdateien mit eigenen Skripten ersetzen oder Dateien mit Rechten des Nutzer erstellen, der den Paketmanager ausführt.

Updates für diese Lücken werden mit NPM 6.13.4 sowie Yarn 1.21.1 angeboten. Das NPM-Unternehmen schreibt in seiner Ankündigung darüber hinaus, dass für eine erfolgreiche Ausnutzung der Lücke Nutzer zwar erst dazu gebracht werden müssten, manipulierte Pakete zu installieren.

Golem Karrierewelt
  1. Einführung in Unity: virtueller Ein-Tages-Workshop
    13.10.2022, Virtuell
  2. Deep Dive: Data Governance Fundamentals: virtueller Ein-Tages-Workshop
    22.02.2023, Virtuell
Weitere IT-Trainings

"Wie wir in der Vergangenheit gesehen haben, ist dies jedoch keine unüberwindliche Barriere", heißt es dazu weiter. Das Unternehmen habe darüber hinaus die NPM-Registry nach Paketen untersucht, die diese Lücken ausnutzen und keine gefunden. Dies bedeute jedoch nicht, dass das in der Vergangenheit nicht passiert sei. Die derzeit in der Registry verfügbaren Pakete nutzten die Lücke aber nicht aus und sind insofern sicher.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Neue Grafikkarten
Erste Preise für Nvidias Geforce RTX 4090 aufgetaucht

Der US-Händler Newegg gibt einen Blick auf die Preise der Nvidia-Ada-Grafikkarten. Sie werden teurer als die Geforce RTX 3090 zuvor.

Neue Grafikkarten: Erste Preise für Nvidias Geforce RTX 4090 aufgetaucht
Artikel
  1. Smart Home Eco Systems: Was unterscheidet Alexa von Homekit von Google Home?
    Smart Home Eco Systems
    Was unterscheidet Alexa von Homekit von Google Home?

    Alexa, Homekit, Google Home - ist das nicht eigentlich alles das Gleiche? Nein, es gibt erhebliche Unterschiede bei Sprachsteuerung, Integration und Datenschutz. Ein Vergleich.
    Eine Analyse von Karl-Heinz Müller

  2. Hideo Kojima: Es sollte ein Death-Stranding-Spiel für Google Stadia geben
    Hideo Kojima
    Es sollte ein Death-Stranding-Spiel für Google Stadia geben

    Hideo Kojima arbeitete am Exklusivtitel für Stadia. Das wurde vorzeitig eingestellt, auch weil Google nicht an Einzelspieler-Games glaubte.

  3. Superbase V: Zendures Solarstation mit 6.400 Wh kommt mit hohem Rabatt
    Superbase V
    Zendures Solarstation mit 6.400 Wh kommt mit hohem Rabatt

    Vor dem Verkaufsstart über die eigene Webseite verkauft Zendure seine Superbase V über Kickstarter - mit teilweise fast 50 Prozent Rabatt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Razer DeathAdder V3 Pro 106,39€ • Alternate (u. a. Kingston FURY Beast RGB 32 GB DDR5-6000 226,89€, be quiet! Silent Base 802 Window 156,89€) • MindFactory (u. a. Kingston A400 240/480 GB 17,50€/32€) • SanDisk microSDXC 400 GB 29,99€ • PCGH-Ratgeber-PC 3000 Radeon Edition 2.500€ [Werbung]
    •  /