GitHub 今天表示,團隊已經修復了 NPM(Node Package Manager)JavaScript 註冊表中一個長期存在的問題,該問題將允許攻擊者在沒有適當授權的情況下更新任何軟件包。首席安全官 Mike Hanley 昨天發布了這個問題,這個問題是由安全研究人員 Kajetan Grzybowski 和 Maciej Piechota 於 11 月 2 日報告的,並在6小時內修復。
這一令人印象深刻的速度與該漏洞存在的時間長短形成鮮明對比,據說比“我們有可用的遙測數據的時間框架要長,可以追溯到 2020 年 9 月”。
該漏洞是基於一個熟悉的不安全模式,即系統正確地驗證了一個用戶,但隨後允許訪問超出該用戶的權限。在這種情況下,NPM 服務正確地驗證了一個用戶被授權更新一個包,但“對註冊表數據進行底層更新的服務根據上傳的包文件的內容來決定發布哪個包”。
NPM 是數百萬開發者的重要資源;例如,最受歡迎的軟件包之一是 lodash,這是一個 JavaScript 工具庫,每天被下載約 700 萬次。這樣一個軟件包的惡意版本的後果將是嚴重的,這就是為什麼 Hanley 補充說,“我們可以非常自信地說,這個漏洞至少自2020年9月以來沒有被惡意利用過”。