Behobene Sicherheitslücken bei npm, yarn und pnpm

Node.js veröffentlicht Security-Update 6.13.4
Keine Kommentare

Ein neues Security-Update für das Node.js Framework wurde veröffentlicht. Es schließt Sicherheitslücken auf Seiten des Paketmanagers npm, dem ebenso wie yarn und pnpm schwerwiegende Schwachstellen diagnostiziert wurden.

Das Node.js Update beinhaltet den aktualisierten Paketmanager npm mit der Version 6.13.4, welcher eine kürzlich entdeckte Sicherheitsschwachstelle schließt. Diese entstand, da das Überschreiben von Dateien durch das Definieren von Binärdateien mittels package.json möglich war.

Anfällig für dieses Binary Planting, bzw. Arbitrary File Overwriting waren neben npm auch yarn und pnpm. Auf diese Weise war es Angreifern möglich, schädlichen Code zu platzieren und ausführen zu lassen. Die Node.js Foundation reagiert mit Security Updates auf diese Problematik, welche alle Release-Zweige betreffen.

Wie das npm-Team mitteilt, wurde die Registry auf mögliche Attacken gescannt. Obwohl keine Gefährdungen festgestellt werden konnten, bestehe jedoch keine Garantie darauf, dass es keine Dateien gibt oder gab, die den Schwachpunkt ausgenutzt haben. Dies ist dem Umstand geschuldet, dass z. B. private Registries oder Git Repositories nicht gescannt werden können. Es wird daher sowohl von Seiten der Node.js Foundation als auch von npm dringend empfohlen, das Update zu installieren.

Mit npm v6.13.4 wird u. a. die package.jason Parsing Library aktualisiert. Updates für yarn (Version 1.21.1) und pnpm (Version 4.5.0) sind ebenfalls verfügbar.

Alle Informationen und Download-Möglichkeiten zu dem neuen Security Update sind auf den offiziellen Webseiten von Node.js, bzw. npm zu finden.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
400
  Subscribe  
Benachrichtige mich zu:
X
- Gib Deinen Standort ein -
- or -