В GitHub обнаружили несколько уязвимостей безопасности

В GitHub обнаружили несколько уязвимостей безопасности. Фото: Pixabay

Уязвимости были обнаружены благодаря сообщениям охотников за багами Роберта Чена и Филипа Папурта, которые выявили проблемы с безопасностью в пакетах tar и @ npmcli / arborist .

Дальнейший анализ их отчётов привёл к тому, что группа безопасности GitHub обнаружила несколько других уязвимостей высокой степени опасности в этих кроссплатформенных пакетах.

Всего было найдено  более полдюжины уязвимостей в двух пакетах npm , которые могут быть использованы злоумышленниками для выполнения произвольного кода в системах, допускающих установку ненадёжных пакетов npm.

Из сообщения Майкла Хэнли, директор по безопасности GitHub.

«Когда мы узнали об этих уязвимостях, мы сразу же начали работать над исправлениями и запустили сканирование реестра npm на предмет вредоносных пакетов, которые могли быть непосредственно нацелены на уязвимость, затронувшую все платформы командной строки npm»

Сканирование завершилось в начале августа, и команде не удалось найти вредоносные пакеты, использующие уязвимости.

Хотя использование ошибок через интерфейс командной строки npn требует установки ненадёжных пакетов или обработки ненадёжных tar-архивов, Хэнли по-прежнему призывает разработчиков обновиться до последней версии утилит.

Разработчики , чьи проекты зависят от tar, должны убедиться, что они обновили свои версии до v4.4.19, v5.0.11, v6.1.10 или новее. Точно так же для npm CLI Хэнли советует пользователям перейти на v6.14.15, v7.21.0 или новее. 

Startpack подготовил список инструментов для защиты персональных данных и корпоративного коммерческого конфидента. Список включает в себя менеджеры, позволяющие хранить и управлять паролями от всевозможных сервисов, защищённые почтовые службы, шифрующие отправления, службы мониторинга безопасности сайтов, которые помогают вовремя отследить и предотвратить недружественные или зловредные действия. Отдельная категория инструментов — прокси и виртуальные защищённые комнаты для работы с документами.

Статьи по теме

• Данные Microsoft 365 Usage Analytics скоро станут автоматически анонимными.
• Check Point приобретает компанию безопасности электронной почты Avanan.
• «Лаборатория Касперского» повысит безопасность малого и среднего бизнеса с ограниченным бюджетом.