公告:希望目录是专业免费收录网站入口,为广大站长提供免费网站收录的服务。对!您没有看错,就是免费网站导航!免费网站分类目录!免费收录网站入口!!!

点击这里在线咨询免费网站收录入口客服
新站提交
  • 网站:17695
  • 待审:4
  • 小程序:18
  • 文章:8373
  • 会员:28861

GitHub 今天表示,团队已经修复了 NPM(Node Package Manager)JavaScript 注册表中一个长期存在的问题,该问题将允许攻击者在没有适当授权的情况下更新任何软件包。首席安全官 Mike Hanley 昨天发布了这个问题,这个问题是由安全研究人员 Kajetan Grzybowski 和 Maciej Piechota 于 11 月 2 日报告的,并在6小时内修复。

这一令人印象深刻的速度与该漏洞存在的时间长短形成鲜明对比,据说比“我们有可用的遥测数据的时间框架要长,可以追溯到 2020 年 9 月”。

该漏洞是基于一个熟悉的不安全模式,即系统正确地验证了一个用户,但随后允许访问超出该用户的权限。在这种情况下,NPM 服务正确地验证了一个用户被授权更新一个包,但“对注册表数据进行底层更新的服务根据上传的包文件的内容来决定发布哪个包”。

NPM 是数百万开发者的重要资源;例如,最受欢迎的软件包之一是 lodash,这是一个 JavaScript 工具库,每天被下载约 700 万次。这样一个软件包的恶意版本的后果将是严重的,这就是为什么 Hanley 补充说,“我们可以非常自信地说,这个漏洞至少自2020年9月以来没有被恶意利用过”。

【来源:希恩贝塔】

分享到:

  admin

注册时间:

网站:0 个   小程序:3 个  文章:0 篇

  • 17695

    网站

  • 18

    小程序

  • 8373

    文章

  • 125

    会员

赶快注册账号,推广您的网站吧!
热门网站
最新入驻小程序

桔子汇率换算2020-03-30

桔子汇率换算,支持美元,欧元,英镑,日

轻松入眠2020-03-30

轻松入眠小程序,睡眠、放松、减压

拼心形照片墙2020-03-30

拼成心形照片,保留美好瞬间,快来和

趣味头像2020-03-30

趣味头像小程序功能,趣味头像一键

时光天气2020-03-30

时光天气是一个小而优化的天气小

外卖地图2020-03-30

送外卖老是找不到地方?叫外卖每次