漏洞信息详情

Node Packaged Modules 符号链接攻击本地提权漏洞

• CNNVD编号：CNNVD-201307-246
• 危害等级： 低危
  
• CVE编号： CVE-2013-4116
• 漏洞类型： 后置链接
• 发布时间： 2013-07-08
• 威胁类型： 本地
• 更新时间： 2020-10-15
• 厂        商： npmjs
• 漏洞来源： Daniel Kahn Gillmor

漏洞简介

Node Packaged Modules（NPM）是一套node.js（网络应用平台）的特定语言包管理程序，它支持直接利用、扩充在线的套件库（packages registry），以加速软件项目的开发，并提供快速查找套件、列出已安装模块等功能。

NPM 1.3.3之前版本的lib/npm.js文件存在安全漏洞。本地攻击者可通过对临时文件实施符号链接攻击利用该漏洞覆盖任意文件。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://www.npmjs.org/

参考网址

来源:XF

链接:https://exchange.xforce.ibmcloud.com/vulnerabilities/87141

来源:MLIST

链接:http://www.openwall.com/lists/oss-security/2013/07/10/17

来源:CONFIRM

链接:https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=715325

来源:CONFIRM

链接:https://github.com/npm/npm/commit/f4d31693

来源:CONFIRM

链接:https://github.com/npm/npm/issues/3635

来源:CONFIRM

链接:https://bugzilla.redhat.com/show_bug.cgi?id=983917

来源:MLIST

链接:http://www.openwall.com/lists/oss-security/2013/07/11/9

来源:BID

链接:https://www.securityfocus.com/bid/61083

受影响实体

• Npmjs Node_packaged_modules:1.3.2  

补丁

• npm-1.3.3
• npm-1.3.3