漏洞信息详情
Node Packaged Modules 符号链接攻击本地提权漏洞
- CNNVD编号:CNNVD-201307-246
- 危害等级: 低危
- CVE编号: CVE-2013-4116
- 漏洞类型: 后置链接
- 发布时间: 2013-07-08
- 威胁类型: 本地
- 更新时间: 2020-10-15
- 厂 商: npmjs
- 漏洞来源: Daniel Kahn Gillmor
漏洞简介
Node Packaged Modules(NPM)是一套node.js(网络应用平台)的特定语言包管理程序,它支持直接利用、扩充在线的套件库(packages registry),以加速软件项目的开发,并提供快速查找套件、列出已安装模块等功能。
NPM 1.3.3之前版本的lib/npm.js文件存在安全漏洞。本地攻击者可通过对临时文件实施符号链接攻击利用该漏洞覆盖任意文件。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://www.npmjs.org/
参考网址
来源:XF
链接:https://exchange.xforce.ibmcloud.com/vulnerabilities/87141
来源:MLIST
链接:http://www.openwall.com/lists/oss-security/2013/07/10/17
来源:CONFIRM
链接:https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=715325
来源:CONFIRM
链接:https://github.com/npm/npm/commit/f4d31693
来源:CONFIRM
链接:https://github.com/npm/npm/issues/3635
来源:CONFIRM
链接:https://bugzilla.redhat.com/show_bug.cgi?id=983917
来源:MLIST
链接:http://www.openwall.com/lists/oss-security/2013/07/11/9
来源:BID
链接:https://www.securityfocus.com/bid/61083
受影响实体
- Npmjs Node_packaged_modules:1.3.2
补丁
- npm-1.3.3
- npm-1.3.3
评论