NPM afslører bug i command line-værktøj
Der er fundet en sårbarhed i NPM's command line-værktøj, NPM CLI, der kan give hackere mulighed for at kunne ændre filer hos brugere, der har installeret en ondsindet pakke, skriver The Register.
Virksomheden NPM Inc. har onsdag været ude med en advarsel, der kommer oven i de to andre allerede kendte sikkerhedsbrister.
NPM, der bruges til at håndtere pakker i Javascript, giver brugere mulighed for både at lave og bruge Javascript-moduler.
Det er ifølge pressemeddelelsen et sikkerhedshul, der via en adgang fra /usr/local/bin, hvor brugerens egne programmer hører hjemme, kan give udefrakommende adgang til brugernes filer.
Formildende omstændigheder
Firmaet skriver også, at det er formildende, at brugeren selv skal installere en pakke, for at sårbarheden kan udnyttes.
NPM er kommet med en opdatering, version 6.13.4, der gør, at det ikke længere bliver muligt at omskrive brugerens filer.
Det var udvikleren David Ruf, der fandt sikkerhedsbristen og publicerede den på sin blog.
Her fremviste han også, hvordan man kunne ændre i brugerens data, så en angriber kan få adgang.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
