Original-URL des Artikels: https://www.golem.de/news/javascript-node-pakete-koennen-binaerdateien-unterjubeln-1912-145557.html    Veröffentlicht: 16.12.2019 10:21    Kurz-URL: https://glm.io/145557

Javascript

Node-Pakete können Binärdateien unterjubeln

Eine Sicherheitslücke in den Paketmanangern für Node.js, NPM und Yarn, ermöglicht das Unterschieben und Manipulieren von Binärdateien auf dem Client-System. Updates stehen bereit.

Für die Kommandozeilenwerkzeuge zur Verwaltung von Node.js-Paketen, Yarn und NPM, stehen Updates bereit, die eine Sicherheitslücke beheben. Die Lücke könnte durch Angreifer mit Hilfe eines speziell manipulierten Node.js-Pakets dazu genutzt werden, Dateien auf dem Client-System zu verändern.

Wie das NPM-Unternehmen in seiner Ankündigung schreibt, reichten dafür speziell erstellte Einträge für das bin-Attribut in der Datei package.json aus. Diese Datei beschreibt die wichtigsten Eigenschaften eines Node.js-Pakets. Das bin-Attribut verweist dabei - wie der Name sagt - auf ausführbare Dateien.

Der Entdecker der Lücken, Daniel Ruf, beschreibt das Vorgehen in seinem Blog näher. Demnach ist es möglich gewesen, für das bin-Attribut beliebige Dateipfade auf dem System anzugeben sowie damit verknüpfte Dateien (Symlink). Laut der Erklärung könnten Angreifer so Zugriff auf Dateien außerhalb des node_modules-Ordners erhalten, Binärdateien mit eigenen Skripten ersetzen oder Dateien mit Rechten des Nutzer erstellen, der den Paketmanager ausführt.

Updates für diese Lücken werden mit NPM 6.13.4 sowie Yarn 1.21.1 angeboten. Das NPM-Unternehmen schreibt in seiner Ankündigung darüber hinaus, dass für eine erfolgreiche Ausnutzung der Lücke Nutzer zwar erst dazu gebracht werden müssten, manipulierte Pakete zu installieren.

"Wie wir in der Vergangenheit gesehen haben, ist dies jedoch keine unüberwindliche Barriere", heißt es dazu weiter. Das Unternehmen habe darüber hinaus die NPM-Registry nach Paketen untersucht, die diese Lücken ausnutzen und keine gefunden. Dies bedeute jedoch nicht, dass das in der Vergangenheit nicht passiert sei. Die derzeit in der Registry verfügbaren Pakete nutzten die Lücke aber nicht aus und sind insofern sicher.

 (sg)


Verwandte Artikel:
Javascript: NPM führt Funding-Option ein   
(06.11.2019, https://glm.io/144835 )
Yarn: Facebook veröffentlicht Alternative zu NPM   
(12.10.2016, https://glm.io/123759 )
Node.js: Hälfte der NPM-Pakete durch schwache Passwörter verwundbar   
(23.06.2017, https://glm.io/128552 )
Whitelist umgehen: Node-Server im Nvidia-Treiber ermöglicht Malware-Ausführung   
(21.04.2017, https://glm.io/127435 )
Open Source: NPM-Chef geht schon nach wenigen Monaten wieder   
(21.09.2019, https://glm.io/144007 )

© 1997–2020 Golem.de, https://www.golem.de/