【漏洞报送】node-tar多个任意文件创建/覆盖漏洞
1
1
漏洞报送
Thunder
Stone
node-tar多个任意文件创建/覆盖漏洞
01漏洞描述
2021年8月23日,node.js发布了安全通告,其中包含了CVE-2021-32803 和CVE-2021-32804任意文件创建\覆盖漏洞的漏洞修复。
CVE-2021-32803
当提取包含目录和与目录同名的符号链接的 tar 文件时,此逻辑是不够的。此操作顺序导致创建目录并将其添加到node-tar目录缓存中。当目录缓存中存在目录时,将跳过对该目录的后续 mkdir 调用。
CVE-2021-32804
当文件路径包含重复的路径根(如////home/user/.bashrc. node-tar只会从这些路径中剥离单个路径根。当给定具有重复路径根的绝对文件路径时,生成的路径(例如///home/user/.bashrc)仍将解析为绝对路径,从而允许任意文件创建和覆盖。
02漏洞信息
漏洞名称:node-tar多个任意文件创建/覆盖漏洞
漏洞类型:任意文件创建\覆盖
危害等级:高危
漏洞编号:CVE-2021-32803、CVE-2021-32804
厂商:node.js
发布时间:2021/08/31
03影响版本
CVE-2021-32803受影响版本
< 3.2.3
>= 4.0.0, < 4.4.15
>= 5.0.0, < 5.0.7
>= 6.0.0, < 6.1.2
CVE-2021-32804受影响版本
< 3.2.2
>= 4.0.0, < 4.4.14
>= 5.0.0, < 5.0.6
>= 6.0.0, < 6.1.1
04修复建议
1、厂商已发布最新补丁版本,建议用户尽快更新至安全版本。
注意:相邻问题CVE-2021-32803会影响CVE-2021-32804级别。如果此相邻问题影响到您的用例,请确保您更新到解决CVE-2021-32803的最新补丁。
2、
CVE-2021-32803漏洞,用户可以通过创建filter防止提取符号链接的自定义方法来绕过此漏洞,而无需升级
CVE-2021-32804漏洞,用户可以在不升级的情况下解决此漏洞,onentry方法是创建一个自定义方法来清理entry.path或filter删除具有绝对路径的条目
参考链接
链接:
https://github.com/advisories/GHSA-r628-mhmh-qjhw
https://github.com/advisories/GHSA-3jfq-g458-7qm9
长按关注
雷石安全实验室