La cyber-sécurité les chercheurs ont identifié un peu plus d’une demi-douzaine de vulnérabilités dans quelques paquets npm, qui peut être exploité par des attaquants pour exécuter du code arbitraire sur des systèmes permettant l’installation de packages npm non fiables.
Les vulnérabilités ont été identifiées grâce aux premiers rapports des chasseurs de bogues Robert Chen et Philip Papurt, qui ont découvert des problèmes de sécurité dans le le goudron et @npmcli/arboriste paquets.
Un examen plus approfondi de leurs rapports a conduit l’équipe de sécurité de GitHub à trouver une poignée d’autres vulnérabilités de haute gravité dans ces packages multiplateformes.
Nous examinons comment nos lecteurs utilisent les VPN avec des sites de streaming comme Netflix afin que nous puissions améliorer notre contenu et offrir de meilleurs conseils. Cette enquête ne prendra pas plus de 60 secondes de votre temps, et nous apprécierions énormément que vous partagiez vos expériences avec nous.
>> Cliquez ici pour lancer le sondage dans une nouvelle fenêtre <
« Lorsque nous avons appris l’existence de ces vulnérabilités, nous avons immédiatement commencé à travailler sur des correctifs et avons commencé à analyser le registre npm à la recherche de packages malveillants susceptibles d’avoir directement ciblé la vulnérabilité affectant toutes les plates-formes CLI npm. » actions Michael Hanley, responsable de la sécurité de GitHub.
L’analyse s’est terminée début août, l’équipe n’ayant trouvé aucun package malveillant tirant parti des vulnérabilités.
Sommaire
Mettez à jour vos dépendances
Bien que l’exploitation des problèmes via la CLI npn nécessite l’installation de packages non fiables ou le traitement d’archives tar non fiables, Hanley exhorte toujours les développeurs à passer à la dernière version des utilitaires concernés.
Développeurs avec des projets qui dépendent de le goudron doivent s’assurer qu’ils mettent à niveau leurs versions de dépendance tar vers v4.4.19, v5.0.11 ou v6.1.10, ou une version plus récente.
De même, pour npm CLI, Hanley conseille aux utilisateurs de passer à v6.14.15, v7.21.0 ou plus récent, qui contiennent le correctif.
« Si vous comptez sur Node.js pour votre installation npm, veuillez mettre à jour vers la dernière version de Node.js. Les dernières versions de Node 12, 14 et 16 au 31 août 2021 contiennent toutes des versions corrigées de npm qui empêchent l’exploitation », écrit Hanley.
