GitHub仅用6小时修复NPM JavaScript注册表中长期存在的漏洞

新闻
GitHub 今天表示,团队已经修复了 NPM(Node Package Manager)JavaScript 注册表中一个长期存在的问题,该问题将允许攻击者在没有适当授权的情况下更新任何软件包。

  

GitHub 今天表示,团队已经修复了 NPM(Node Package Manager)JavaScript 注册表中一个长期存在的问题,该问题将允许攻击者在没有适当授权的情况下更新任何软件包。首席安全官 Mike Hanley 昨天发布了这个问题,这个问题是由安全研究人员 Kajetan Grzybowski 和 Maciej Piechota 于 11 月 2 日报告的,并在 6 小时内修复。

  这一令人印象深刻的速度与该漏洞存在的时间长短形成鲜明对比,据说比“我们有可用的遥测数据的时间框架要长,可以追溯到 2020 年 9 月”。

  该漏洞是基于一个熟悉的不安全模式,即系统正确地验证了一个用户,但随后允许访问超出该用户的权限。在这种情况下,NPM 服务正确地验证了一个用户被授权更新一个包,但“对注册表数据进行底层更新的服务根据上传的包文件的内容来决定发布哪个包”。

  NPM 是数百万开发者的重要资源;例如,最受欢迎的软件包之一是 lodash,这是一个 JavaScript 工具库,每天被下载约 700 万次。这样一个软件包的恶意版本的后果将是严重的,这就是为什么 Hanley 补充说,“我们可以非常自信地说,这个漏洞至少自 2020 年 9 月以来没有被恶意利用过”。

 

 

责任编辑:张燕妮 来源: 博客园
相关推荐

2012-05-13 15:54:04

Android

2022-10-21 10:43:17

疫情数据预测时间序列模型

2011-08-04 09:37:11

注册表

2022-03-01 17:26:35

华为数字化

2011-08-04 10:23:49

2011-08-04 16:37:09

注册表编辑器注册表

2020-08-25 18:52:22

人工智能机器人技术

2021-03-18 15:56:07

Windows10操作系统21H2

2016-08-31 00:42:11

2011-09-19 16:23:47

Vista蓝屏注册表

2021-07-01 09:49:20

机器人人工智能AI

2009-08-21 09:43:49

C#编辑注册表

2022-10-25 10:44:34

CIO供应链

2011-08-03 17:53:03

注册表编辑器

2011-08-04 16:49:33

注册表注册表编辑器

2018-10-24 09:54:37

GitHub宕机程序员

2011-03-17 11:24:15

2011-04-21 09:10:16

2010-02-06 09:25:39

点赞
收藏

51CTO技术栈公众号