NPM afslører bug i command line-værktøj

Ifølge virksomheden bag Node Package Manager er der fundet en fejl i det command line-værktøj, der kan give adgang til brugernes filer. Der er ifølge NPM lukket ned for sikkerhedsrisikoen.

Der er fundet en sårbarhed i NPM's command line-værktøj, NPM CLI, der kan give hackere mulighed for at kunne ændre filer hos brugere, der har installeret en ondsindet pakke, skriver The Register.

Virksomheden NPM Inc. har onsdag været ude med en advarsel, der kommer oven i de to andre allerede kendte sikkerhedsbrister.

Læs også: Bagdør til webservere forsøgt distribueret via javascript-registret NPM

NPM, der bruges til at håndtere pakker i Javascript, som giver brugere mulighed for både at lave og bruge Javascript-moduler.

Det er ifølge pressemeddelelsen et sikkerhedshul, der via en adgang fra /usr/local/bin, hvor brugerens egne programmer hører hjemme, kan give udefrakommende adgang til brugernes filer.

Formildende omstændigheder

Firmaet skriver også, at det er formildende, at brugeren selv skal installere en pakke, for at sårbarheden kan udnyttes.

NPM er kommet med en opdatering, version 6.13.4, der gør, at det ikke længere bliver muligt at omskrive brugerens filer.

Det var udvikleren David Ruf, der fandt sikkerhedsbristen og publicerede den på sin blog.

Her fremviste han også, hvordan man kunne ændre i brugerens data, så en angriber kan få adgang.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere