8827太阳集团

首页 > 安全钻研 > 安全传递 > 安全公告

【缝隙公告】GitHub建复npm中的两个安全缝隙

颁布功夫 2021-11-17

0x00 缝隙概述

近日，，，，，GitHub公开披露了在npm中发现并已建复的2个安全缝隙，，，，，攻击者可利用该缝隙提议针对性的依赖混合攻击和域名抢注，，，，，或者未经授权更新任何npm 包的新版本。。。。。。

0x01 缝隙详情

npm是 Node.js 的包治理工具，，，，，用来装置各类 Node.js 的扩大，，，，，后被GitHub收购。。。。。。

GitHub本次公开披露的两个缝隙是近两个月在npm中发现的，，，，，第一个缝隙为信息泄露缝隙，，，，，第二个缝隙为授权缝隙，，，，，详情如下：

npm信息泄露缝隙

该缝隙是npmjs的复造服务器上的数据泄漏，，，，，这是由 "日常守护 "造成的，，，，，导致露出了私有npm包的名称列表，，，，，但在守护窗口期间，，，，，这些包的内容并没有露出。。。。。。

当在为Replication.npmjs.com 上的公共 npm 副本提供支持的数据库进行守护期间，，，，，创建的纪录可能会露出私有包的名称，，，，，固然私有包的内容没有露出，，，，，但这些名称信息足以让攻击者以自动化的方式进行有针对性的依赖混合攻击和域名抢注。。。。。。

固然目前所有蕴含私有包名称的纪录已经从 npm 的复造数据库中删除，，，，，但replicate.npmjs.com 服务仍被第三方使用，，，，，因而第三方可能会持续保留副本或可能已将数据复造到其他处所。。。。。。GitHub已经对其天生公共复造数据库的过程进行了批改，，，，，以在将来解除个人软件包名称泄露问题。。。。。。

npm授权缝隙

此缝隙源于处置对npm注册表的要求的多个微服务之间不正确的授权查抄和数据验证，，，，，导致授权和颁布的软件包存在差距。。。。。。攻击者能够在没有适当授权的情况下使用账户颁布任何npm包的新版本。。。。。。

GitHub暗示该缝隙目前尚未被恶意利用，，，，，并且已经通过确保颁布服务和授权服务的一致性来缓解这个问题，，，，，以确保授权和颁布使用的是统一个软件包。。。。。。

此表，，，，，盛行的npm库 "ua-parser-js"、"coa "和 "rc "之前在一系列攻击中被劫持，，，，，主张是用木马和加密矿工习染开源软件消费者。。。。。。据 GitHub 称，，，，，这些盛行库的守护者都没有在他们的账户上启用双成分身份验证 (2FA)，，，，，因而，，，，，为预防这种情况再次产生，，，，，GitHub将要求 npm 守护人员在 2022 年起头启用2FA。。。。。。

0x02 措置建议

目前这些缝隙已经建复，，，，，建议有关用户把稳防备此类攻击。。。。。。

参考链接：

https://github.blog/2021-11-15-githubs-commitment-to-npm-ecosystem-security/

0x03 参考链接

https://github.blog/2021-11-15-githubs-commitment-to-npm-ecosystem-security/

https://www.bleepingcomputer.com/news/security/npm-fixes-private-package-names-leak-serious-authorization-bug/

https://securityaffairs.co/wordpress/124671/security/github-npm-package-flaws.html?

0x04 更新版本

版本	日期	批改内容
V1.0	2021-11-17	初次颁布

0x05 附录

8827太阳集团简介

8827太阳集团公司成立于1996年，，，，，并于2010年6月23日在深交所中幼板正式挂牌上市，，，，，是国内最具实力的信息安全产品和安全治理平台、安全服务与解决规划的领航企业之一。。。。。。

公司总部位于北京市中关村软件园，，，，，在全国各省、视注自治区设立分支机构六十多个，，，，，占有覆盖全国的销售系统、渠路系统和技术支持系统；；；；；；并在华北、华东、西南和华南布局四大研发中心，，，，，别离为北京研发总部、上海研发中心、成都研发中心和昭通研发中心。。。。。。

多年来，，，，，8827太阳集团致力于提供拥有国际竞争力的自主创新的安全产品和最佳实际服务，，，，，援手客户全面提升其IT基础设施的安全性和出产效力，，，，，为打造和提升国际化的民族信息安全产业领军品牌而不懈致力。。。。。。

关于8827太阳集团

8827太阳集团安全应急响应中心重要针对沉要安全缝隙的预警、跟踪和分享全球最新的威胁谍报和安全汇报。。。。。。

关注以下公家号，，，，，获取全球最新安全资讯：

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

Copyright ? 8827太阳集团版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】