【漏洞报送】node-tar多个任意文件创建/覆盖漏洞

雷石安全实验室

共 1214字,需浏览 3分钟

 ·

2021-09-02 07:47

1

1

漏洞报送


Thunder



Stone  



node-tar多个任意文件创建/覆盖漏洞


01漏洞描述


2021年8月23日,node.js发布了安全通告,其中包含了CVE-2021-32803 和CVE-2021-32804任意文件创建\覆盖漏洞的漏洞修复。

CVE-2021-32803

当提取包含目录和与目录同名的符号链接的 tar 文件时,此逻辑是不够的。此操作顺序导致创建目录并将其添加到node-tar目录缓存中。当目录缓存中存在目录时,将跳过对该目录的后续 mkdir 调用。

CVE-2021-32804

当文件路径包含重复的路径根(如////home/user/.bashrc. node-tar只会从这些路径中剥离单个路径根。当给定具有重复路径根的绝对文件路径时,生成的路径(例如///home/user/.bashrc)仍将解析为绝对路径,从而允许任意文件创建和覆盖。


02漏洞信息


漏洞名称:node-tar多个任意文件创建/覆盖漏洞


漏洞类型:任意文件创建\覆盖


危害等级:高危


漏洞编号:CVE-2021-32803、CVE-2021-32804


厂商:node.js


发布时间:2021/08/31


03影响版本


CVE-2021-32803受影响版本

< 3.2.3

>= 4.0.0, < 4.4.15

>= 5.0.0, < 5.0.7

>= 6.0.0, < 6.1.2


CVE-2021-32804受影响版本

< 3.2.2

>= 4.0.0, < 4.4.14

>= 5.0.0, < 5.0.6

>= 6.0.0, < 6.1.1


04修复建议


1、厂商已发布最新补丁版本,建议用户尽快更新至安全版本。

注意:相邻问题CVE-2021-32803会影响CVE-2021-32804级别。如果此相邻问题影响到您的用例,请确保您更新到解决CVE-2021-32803的最新补丁。

2、

CVE-2021-32803漏洞,用户可以通过创建filter防止提取符号链接的自定义方法来绕过此漏洞,而无需升级

CVE-2021-32804漏洞,用户可以在不升级的情况下解决此漏洞,onentry方法是创建一个自定义方法来清理entry.path或filter删除具有绝对路径的条目


参考链接

链接:

https://github.com/advisories/GHSA-r628-mhmh-qjhw

https://github.com/advisories/GHSA-3jfq-g458-7qm9




长按关注

雷石安全实验室


浏览 48
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报