Modern technology gives us many things.

Το NPM εντόπισε και διόρθωσε πολλά ελαττώματα ασφαλείας

0

Το μεγαλύτερο μητρώο λογισμικού packages Node.js, το npm, έχει αποκαλύψει πολλά ελαττώματα ασφαλείας που εντοπίστηκαν και επιδιορθώθηκαν πρόσφατα.

Το πρώτο ελάττωμα αφορά τη διαρροή ονομάτων ιδιωτικών npm packages στον server ‘αντίγραφο’ του npmjs.com. Ενώ, το δεύτερο ελάττωμα επιτρέπει στους εισβολείς να δημοσιεύουν νέες εκδόσεις οποιουδήποτε υπάρχοντος πακέτου npm του οποίου δεν κατέχουν ή δεν έχουν δικαιώματα, λόγω ακατάλληλων ελέγχων authorization.

Δείτε επίσης: Microsoft Patch Tuesday Νοεμβρίου 2021: Διορθώνει 55 ευπάθειες

npm - Το NPM εντόπισε και διόρθωσε πολλά ελαττώματα ασφαλείας

Διέρρευσαν private ονόματα npm package

Αυτή την εβδομάδα, η μητρική εταιρεία του npm, το GitHub, αποκάλυψε δύο ελαττώματα ασφαλείας που εντοπίστηκαν και επιλύθηκαν στο npm registry μεταξύ Οκτωβρίου και αυτού του μήνα.

Η πρώτη είναι μια διαρροή δεδομένων στον replication server του npmjs, η οποία προκλήθηκε από «routine maintenance». Η διαρροή αποκάλυψε μια λίστα με ιδιωτικά npm packages, αλλά όχι το περιεχόμενο αυτών των packages κατά τη διάρκεια του παραθύρου maintenance.

Σημειώστε ότι, ενώ το περιεχόμενο των ιδιωτικών packages δεν αποκαλύφθηκε, η γνώση των ιδιωτικών ονομάτων package είναι αρκετή για τους απειλητικούς φορείς να διεξάγουν στοχευμένες επιθέσεις dependency confusion και typosquatting με αυτοματοποιημένο τρόπο, όπως έχουμε δει ξανά και ξανά.

security flaws header - Το NPM εντόπισε και διόρθωσε πολλά ελαττώματα ασφαλείαςsecurity flaws header - Το NPM εντόπισε και διόρθωσε πολλά ελαττώματα ασφαλείας

Η διαρροή αφορά συγκεκριμένα ιδιωτικά npm libraries εμβέλειας που μοιάζουν με “@owner/package” και δημιουργήθηκαν πριν από τις 20 Οκτωβρίου. Τα ονόματα τέτοιων libraries εκτέθηκαν “μεταξύ 21 Οκτωβρίου 13:12:10Z UTC και 29 Οκτωβρίου 15:51:00Z UTC”, σύμφωνα με το GitHub.

Δείτε επίσης: iOS 15.1: Τα iPhone εξακολουθούν να είναι ευάλωτα σε δύο zero-day ευπάθειες;

Η διαρροή δεδομένων εντοπίστηκε από το GitHub στις 26 Οκτωβρίου και στις 29, όλες οι εγγραφές που περιείχαν ιδιωτικά package names διαγράφηκαν από τη βάση δεδομένων αναπαραγωγής του npm. Παρόλο που, το GitHub προειδοποιεί ότι παρόλα αυτά, η υπηρεσία replicate.npmjs.com καταναλώνεται από τρίτα μέρη, τα οποία ενδέχεται, ως εκ τούτου, να συνεχίσουν να διατηρούν ένα αντίγραφο ή “ενδέχεται να έχουν αναπαράγει τα δεδομένα αλλού”.

Για να αποτρέψει την επανάληψη ενός τέτοιου ζητήματος, το GitHub έχει κάνει αλλαγές στη διαδικασία δημιουργίας της δημόσιας βάσης δεδομένων αναπαραγωγής, η οποία αναμένεται να εξαλείψει την πιθανότητα διαρροής ιδιωτικών package names στο μέλλον.

summer cyber security bug - Το NPM εντόπισε και διόρθωσε πολλά ελαττώματα ασφαλείαςsummer cyber security bug - Το NPM εντόπισε και διόρθωσε πολλά ελαττώματα ασφαλείας

Το ελάττωμα θα μπορούσε να επιτρέψει τη μη εξουσιοδοτημένη δημοσίευση νέων εκδόσεων

Επιπλέον, το GitHub αποκάλυψε ένα σοβαρό σφάλμα που θα μπορούσε να «επιτρέψει σε έναν εισβολέα να δημοσιεύσει νέες εκδόσεις οποιουδήποτε npm package χρησιμοποιώντας έναν λογαριασμό χωρίς την κατάλληλη εξουσιοδότηση».

Αυτή η ευπάθεια προήλθε από ακατάλληλους ελέγχους εξουσιοδότησης και επικύρωση δεδομένων μεταξύ πολλών μικροϋπηρεσιών που επεξεργάζονται αιτήματα στο npm registry.

Δείτε επίσης: Google Chrome: Έκτακτο update για να διορθωθούν zero-day ευπάθειες

Οι ερευνητές Kajetan Grzybowski και Maciej Piechota έχουν πιστωθεί την υπεύθυνη αναφορά του ελαττώματος μέσω του προγράμματος επιβράβευσης σφαλμάτων ασφαλείας του GitHub.

Και, μέχρι στιγμής, φαίνεται ότι δεν υπάρχουν στοιχεία εκμετάλλευσης. Η ευπάθεια υπήρχε στο μητρώο npm “πέρα από το χρονικό πλαίσιο για το οποίο διαθέτουμε telemetry για να προσδιορίσουμε εάν έχει γίνει ποτέ εκμετάλλευση”.

Το GitHub έχει δηλώσει με μεγάλη σιγουριά ότι δεν έχει γίνει εκμετάλλευση της ευπάθειας τουλάχιστον από τον Σεπτέμβριο του 2020.

Πηγή πληροφοριών: bleepingcomputer.com

Πηγή SecNews.gr

Google News - Το NPM εντόπισε και διόρθωσε πολλά ελαττώματα ασφαλείαςΠατήστε εδώ και ακολουθήστε το TechWar.gr στο Google News για να μάθετε πρώτοι όλες τις ειδήσεις τεχνολογίας.

Λάβετε ενημερώσεις σε πραγματικό χρόνο απευθείας στη συσκευή σας, εγγραφείτε τώρα.

Μπορεί επίσης να σας αρέσει
Σχολιάστε το Άρθρο

Η διεύθυνση email σας δεν θα δημοσιευθεί.