GitHub修补npm中的两个安全漏洞
发布时间:2022-01-05 11:02:42 所属栏目:安全 来源:互联网
导读:该漏洞是npmjs的复制服务器上的数据泄漏,这是由 日常维护 造成的,导致暴露了私有npm包的名称列表,但在维护窗口期间,这些包的内容并没有暴露。 当在为Replication.npmjs.com 上的公共 npm 副本提供支持的数据库进行维护期间,创建的记录可能会暴露私有包的
|
该漏洞是npmjs的复制服务器上的数据泄漏,这是由 “日常维护 ”造成的,导致暴露了私有npm包的名称列表,但在维护窗口期间,这些包的内容并没有暴露。 当在为Replication.npmjs.com 上的公共 npm 副本提供支持的数据库进行维护期间,创建的记录可能会暴露私有包的名称,虽然私有包的内容没有暴露,但这些名称信息足以让攻击者以自动化的方式进行有针对性的依赖混淆攻击和域名抢注。虽然目前所有包含私有包名称的记录已经从 npm 的复制数据库中删除,但replicate.npmjs.com 服务仍被第三方使用,因此第三方可能会继续保留副本或可能已将数据复制到其他地方。因此,GitHub已经对其生成公共复制数据库的过程进行了修改,以在未来消除私人软件包名称泄露问题。 此漏洞源于处理对npm注册表的请求的多个微服务之间不正确的授权检查和数据验证,导致授权和发布的软件包存在差异。攻击者可以在没有适当授权的情况下使用账户发布任何npm包的新版本。 GitHub表示该漏洞目前尚未被恶意利用,并且已经通过确保发布服务和授权服务的一致性来缓解这个问题,以确保授权和发布使用的是同一个软件包。 (编辑:东莞站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐