首頁 > 安全研究 > 安全通報 > 安全通告

【漏洞通告】tar & @npmcli/arborist 9月多個安全漏洞

發布時間 2021-09-10

0x00 漏洞概述

2021年9月8日,GitHub安全團隊公開披露了在npm CLI 使用的 npm 包tar和@npmcli/arborist中發現的7個安全漏洞,攻擊者可以利用這些漏洞覆蓋任意文件、創建任意文件或執行任意代碼。

 

0x01 漏洞詳情

image.png

tar是npm的一個核心依賴,用于提取和安裝npm包。@npmcli/arborist是npm CLI的一個核心依賴項,用于管理node_modules樹。

當tar被用來提取不受信任的tar文件或當npm CLI在某些文件系統條件下被用來安裝不受信任的npm包時,這些漏洞可能會由于文件覆蓋或創建而導致任意代碼執行。本次披露的7個漏洞如下:

l  CVE-2021-32803:由于目錄緩存中毒,可以通過不充分的符號鏈接保護來實現任意文件創建/覆蓋,該漏洞的CVSSv3評分為8.1/8.2。

l  CVE-2021-32804:由于絕對路徑清理不足而導致任意文件創建/覆蓋,該漏洞的CVSSv3評分為8.1/8.2。

l  CVE-2021-37701:由于使用符號鏈接的目錄緩存中毒,導致符號鏈接保護不足,從而導致任意文件創建/覆蓋,該漏洞的CVSSv3評分為8.2。

l  CVE-2021-37712:由于使用符號鏈接的目錄緩存中毒,導致符號鏈接保護不足,從而導致任意文件創建/覆蓋,該漏洞的CVSSv3評分為8.2。

l  CVE-2021-37713:通過不充分的相對路徑清理在Windows上創建/覆蓋任意文件,該漏洞的CVSSv3評分為8.2。

l  CVE-2021-39134:@npmcli/arborist中的UNIX符號鏈接(Symlink),該漏洞的CVSSv3評分為7.8/8.2。

l  CVE-2021-39135:@npmcli/arborist中的UNIX符號鏈接(Symlink),該漏洞的CVSSv3評分為7.8/8.2。

 

在處理惡意或不受信任的npm包安裝,CVE-2021-32804、CVE-2021-37713、CVE-2021-39134和CVE-2021-39135會影響npm CLI,其中一些漏洞可能會導致任意代碼執行。

 

影響范圍

CVE

影響產品

影響范圍

修復版本

參考鏈接

CVE-2021-32803

 

 

 

 

 

 

 

tar(npm)

 

 

<3.2.3

4.x :<4.4.15

5.x :<5.0.7

6.x :<6.1.2

3.2.3

4.4.15

5.0.7

6.1.2

https://github.com/npm/node-tar/security/advisories/GHSA-r628-mhmh-qjhw

CVE-2021-32804

<3.2.2

4.x :<4.4.14

5.x :<5.0.6

6.x :<6.1.1

3.2.2

4.4.14

5.0.6

6.1.1

https://github.com/npm/node-tar/security/advisories/GHSA-3jfq-g458-7qm9

CVE-2021-37701

<4.4.16

5:<5.0.8

6:<6.1.7

4.4.16

5.0.8

6.1.7

https://github.com/npm/node-tar/security/advisories/GHSA-9r2w-394v-53qc

CVE-2021-37712

6:<=6.1.8

5:<=5.0.9

<=4.4.17

6.1.9

5.0.10

4.4.18

 

 

https://github.com/npm/node-tar/security/advisories/GHSA-qq89-hq3f-393p

CVE-2021-37713

6:<=6.1.8

5:<=5.0.9

<=4.4.17

6.1.9

5.0.10

4.4.18

https://github.com/npm/node-tar/security/advisories/GHSA-5955-9wpr-37jh

CVE-2021-39134

@npmcli/arborist (npm)

<=2.8.1

2.8.2

https://github.com/npm/arborist/security/advisories/GHSA-2h3h-q99f-3fhc

CVE-2021-39135

<=2.8.1

2.8.2

https://github.com/npm/arborist/security/advisories/GHSA-gmw6-94gg-2rc2

 

0x02 處置建議

目前這些漏洞已經修復,建議及時升級更新。

l  如果直接安裝或打包npm CLI,請更新npm CLI 到6.14.15、7.21.0 或更高版本。(只有CVE-2021-32804、CVE-2021-37713、CVE-2021-39134 和 CVE-2021-39135影響npm CLI)。

l  如果依賴 Node.js 進行 npm 安裝,請更新到最新版本的 Node.js v12.22.6、v14.17.6 、v16.8.0 (截至2021 年 8 月 31 日)或更高版本,它們包含CVE-2021-32804、CVE-2021-37713、CVE-2021-39134 和 CVE-2021-39135 的補丁。

l  如果項目依賴于tar:將依賴項更新到 4.4.19、5.0.11、6.1.10 或更高版本。(詳見CVE-2021-32804、CVE-2021-32803、CVE-2021-37701、CVE-2021-37712和CVE-2021-37713鏈接。)

l  tar的v3分支已經被廢棄,建議更新到v6。

 

下載鏈接:

https://github.com/npm/cli/

 

0x03 參考鏈接

https://github.blog/2021-09-08-github-security-update-vulnerabilities-tar-npmcli-arborist/

https://github.com/npm/node-tar/security/advisories/GHSA-r628-mhmh-qjhw

https://www.bleepingcomputer.com/news/security/github-finds-7-code-execution-vulnerabilities-in-tar-and-npm-cli/

 

0x04 更新版本

版本

日期

修改內容

V1.0

2021-09-10

首次發布

 

0x05 文檔附錄

CNVD:www.cnvd.org.cn

CNNVD:www.cnnvd.org.cn

CVE:cve.mitre.org

NVD:nvd.nist.gov

CVSS:www.first.org

0x06 關于我們

關注以下公眾號,獲取更多資訊:

image.png

 

 

上一篇 下一篇