GitHub仅用6小时修复NPM JavaScript注册表

业界
2021
11/18
16:35
希恩贝塔
分享
评论

GitHub 今天表示,团队已经修复了 NPM(Node Package Manager)JavaScript 注册表中一个长期存在的问题,该问题将允许攻击者在没有适当授权的情况下更新任何软件包。首席安全官 Mike Hanley 昨天发布了这个问题,这个问题是由安全研究人员 Kajetan Grzybowski 和 Maciej Piechota 于 11 月 2 日报告的,并在6小时内修复。

这一令人印象深刻的速度与该漏洞存在的时间长短形成鲜明对比,据说比“我们有可用的遥测数据的时间框架要长,可以追溯到 2020 年 9 月”。

该漏洞是基于一个熟悉的不安全模式,即系统正确地验证了一个用户,但随后允许访问超出该用户的权限。在这种情况下,NPM 服务正确地验证了一个用户被授权更新一个包,但“对注册表数据进行底层更新的服务根据上传的包文件的内容来决定发布哪个包”。

NPM 是数百万开发者的重要资源;例如,最受欢迎的软件包之一是 lodash,这是一个 JavaScript 工具库,每天被下载约 700 万次。这样一个软件包的恶意版本的后果将是严重的,这就是为什么 Hanley 补充说,“我们可以非常自信地说,这个漏洞至少自2020年9月以来没有被恶意利用过”。

【来源:希恩贝塔】

THE END
广告、内容合作请点击这里 寻求合作
GitHub
免责声明:本文系转载,版权归原作者所有;旨在传递信息,不代表 的观点和立场。

相关热点

开源软件开发商 GitHub 近日表示,新写的 30% 代码都是在 AI 编程工具 Copilot 的帮助下完成的。
业界
9 月 18 日消息 据美国消费者新闻与商业频道 CNBC 报道,微软 GitHub 竞争对手 GitLab 周五表示,计划在纳斯达克上市,股票代码为“GTLB”。
业界
3月16日,微软子公司、全世界最大的代码存放平台和开源社区Github表示,已同意收购代码分发初创公司NPM。
业界
据外媒报道,全球最大的软件开发平台GitHub正寻求在中国开设一家子公司。去年被微软以75亿美元收购的GitHub托管和管理私营公司的软件开发,是任何人都可以参与的最大的开源软件项目。
业界
11月14日消息,据外媒报道,在美国当地时间周三举行的年度Universe大会上,微软旗下软件项目托管平台GitHub宣布推出几款新产品,并公布了过去几个月开发者所测试工具的总体可用性。
业界

相关推荐

1
3
Baidu
map