网络安全研究人员在几个npm包中发现了六个以上的漏洞,攻击者可以利用这些漏洞在允许安装不受信任的npm包的系统上执行任意代码。由于漏洞赏金猎人RobertChen和PhilipPapurt的初步报告,发现了这些漏洞,他们在tar和@npmcli/arborist包中发现了安全问题。
对他们的报告的进一步审查导致GitHub安全团队在这些跨平台软件包中发现了一些其他高危漏洞。
我们正在研究我们的读者如何将VPN与Netflix等流媒体网站结合使用,以便我们改进内容并提供更好的建议。此调查不会占用您超过60秒的时间,如果您能与我们分享您的经验,我们将不胜感激。
“当我们得知这些漏洞,我们立即开始修复工作,并开始扫描NPM注册表可能已经直接针对的是所有受影响的NPMCLI平台,该漏洞的恶意程序包”股GitHub的首席安全官迈克尔·汉利。
扫描于8月初完成,团队未能找到任何利用这些漏洞的恶意软件包。
更新您的依赖项
尽管通过npnCLI来利用这些问题需要安装不受信任的软件包或处理不受信任的tar存档,但Hanley仍然敦促开发人员升级到受影响实用程序的最新版本。
拥有依赖tar的项目的开发人员应确保将他们的tar依赖版本升级到v4.4.19、v5.0.11或v6.1.10或更高版本。
类似地,对于npmCLI,Hanley建议用户迁移到包含修复程序的v6.14.15、v7.21.0或更新版本。
“如果你依赖Node.js安装npm,请更新到最新版本的Node.js。截至2021年8月31日,Node12、14和16的最新版本都包含可防止漏洞利用的npm补丁版本,”Hanley写道。
标签: