Новость:
Уязвимость в NPM, приводящая к перезаписи файлов в системе
Дата:
2021-09-10
Компания GitHub раскрыла подробности о семи уязвимостях в пакетах tar и @npmcli/arborist, предоставляющих функции для работы с tar-архивами и расчета дерева зависимостей в Node.js. Уязвимости позволяют при распаковке специально оформленного архива перезаписать файлы за пределами корневого каталога, в который осуществляется распаковка, насколько это позволяют текущие права доступа. Проблемы дают возможность организовать выполнение произвольного кода в системе, например, через добавление команд в ~/.bashrc или ~/.profile при выполнении операции непривилегированным пользователем или через замену системных файлов при запуске с правами root.
Последние новости:
- Сторонняя организация пытается зарегистрировать торговую марку PostgreSQL в Европе и США 2021-09-14
- Осеннее обновление стартовых наборов ALT p10 2021-09-14
- Новая техника эксплуатации уязвимостей класса Spectre в Chrome 2021-09-14
- Выпуск многопользовательской RPG-игры Veloren 0.11 2021-09-14
- BitTorrent-клиент Transmission переходит с Си на Си++ 2021-09-14