node-tar多个任意文件创建/覆盖漏洞

2021年8月23日，node.js发布了安全通告，其中包含了CVE-2021-32803 和CVE-2021-32804任意文件创建\覆盖漏洞的漏洞修复。

CVE-2021-32803

当提取包含目录和与目录同名的符号链接的 tar 文件时，此逻辑是不够的。此操作顺序导致创建目录并将其添加到node-tar目录缓存中。当目录缓存中存在目录时，将跳过对该目录的后续 mkdir 调用。

CVE-2021-32804

当文件路径包含重复的路径根（如////home/user/.bashrc. node-tar只会从这些路径中剥离单个路径根。当给定具有重复路径根的绝对文件路径时，生成的路径（例如///home/user/.bashrc）仍将解析为绝对路径，从而允许任意文件创建和覆盖。

漏洞名称：node-tar多个任意文件创建/覆盖漏洞

漏洞类型：任意文件创建\覆盖

危害等级：高危

漏洞编号：CVE-2021-32803、CVE-2021-32804

厂商：node.js

发布时间：2021/08/31

CVE-2021-32803受影响版本

< 3.2.3

>= 4.0.0, < 4.4.15

>= 5.0.0, < 5.0.7

>= 6.0.0, < 6.1.2

CVE-2021-32804受影响版本

< 3.2.2

>= 4.0.0, < 4.4.14

>= 5.0.0, < 5.0.6

>= 6.0.0, < 6.1.1

1、厂商已发布最新补丁版本，建议用户尽快更新至安全版本。

注意：相邻问题CVE-2021-32803会影响CVE-2021-32804级别。如果此相邻问题影响到您的用例，请确保您更新到解决CVE-2021-32803的最新补丁。

2、

CVE-2021-32803漏洞，用户可以通过创建filter防止提取符号链接的自定义方法来绕过此漏洞，而无需升级

CVE-2021-32804漏洞，用户可以在不升级的情况下解决此漏洞，onentry方法是创建一个自定义方法来清理entry.path或filter删除具有绝对路径的条目

参考链接

链接：

https://github.com/advisories/GHSA-r628-mhmh-qjhw

https://github.com/advisories/GHSA-3jfq-g458-7qm9