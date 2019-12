Die Entwickler von Yarn und npm, zweier Paketmanager für die JavaScript-Laufzeitumgebung Node.js, haben mittels Updates insgesamt drei Sicherheitslücken geschlossen, deren Schweregrad durchweg als "hoch" gilt.

Angreifer hätten die Lücken missbrauchen können, um beliebige Binärdateien auf PCs mit verwundbaren Versionen zu kopieren oder vorhandene Dateien mit beliebigem (Schad-)Code zu überschreiben. Wie das npm-Team in einem Blogeintrag erläutert, müssten sie ihre Opfer allerdings erst einmal dazu bringen, ein speziell präpariertes Paket zu installieren.

Während eines Scans der npm-Registry haben die Entwickler keine (derzeit dort befindlichen) Pakete gefunden, die die Lücken aktiv ausnutzen.

Binaries (über-)schreiben mittels Paketinstallation

Laut einem Blogeintrag von Daniel Ruf, des Entdeckers der drei Lücken, basieren sie auf der Tatsache, dass die Paketmanager beliebige (valide) Pfadangaben zu Binärdateien im "bin"-Feld in der Konfigurationsdatei package.json erlaub(t)en, für die anschließend symbolische Verknüpfungen (Symlinks) auf dem System erzeugt werden. package.json dient der Verwaltung von Metadaten von Node.js-Paketen.

Aufgrund fehlender Beschränkungen/Überprüfungsmechanismen war es Angreifern mittels speziell präparierten Paketen unter anderem möglich, Symlinks auf Dateien außerhalb des node_modules-Ordners zu erzeugen ( CVE-2019-16775), bei der Paketinstallation (auch schreibend) auf beliebige Dateien auf dem System zuzugreifen (CVE-2019-16776) oder vorhandene Dateien zu überschreiben (CVE-2019-16777).

Wie das Node.js-Team in einem eigenen Blogeintrag mitteilte, ist die Durchführung eines solchen Angriffs unabhängig von der verwendeten Node.js-Version möglich: Alle Versionen seien in diesem Sinne verwundbar.

Die betroffenen Paketmanager wurden mit der Yarn-Version 1.12.1 und der npm-Version 6.13.4 gegen die drei Sicherheitslücken abgesichert. Laut Node.js sollen außerdem am 17. Dezember neue Node.js-Versionen mit dem aktualisierten npm erscheinen.

Unklar ist, ob und inwiefern auch der Paketmanager pnpm von den Lücken betroffen ist. Daniel Ruf schreibt in seinem Blog, dass "viele" der von ihm erläuterten Proofs-of-Concept nicht auf pnpm anwendbar seien: "pnpm seems to prevent many of the attack types as my tests concluded."

Demnach verfügt pnpm bereits über einige Schutzmechanismen, die die übrigen Werkzeuge erst mit den aktuellen Sicherheitsupdates erhalten haben; andererseits trägt Rufs Blogeintrag aber den Titel "binary planting and arbitrary file (over)write vulnerabilities in npm, pnpm and yarn". Eine Antwort des Sicherheitsforschers auf eine diesbezügliche Anfrage von heise Security steht noch aus (ovw)