【误差通告】tar & @npmcli/arborist 9月多个清静误差

宣布时间 2021-09-10

0x00 误差概述

2021年9月8日,GitHub清静团队果真披露了在npm CLI 使用的 npm 包tar和@npmcli/arborist中发明的7个清静误差,攻击者可以使用这些误差笼罩恣意文件、建设恣意文件或执行恣意代码。

 

0x01 误差详情

image.png

tar是npm的一个焦点依赖,用于提取和装置npm包。@npmcli/arborist是npm CLI的一个焦点依赖项,用于治理node_modules树。

当tar被用来提取不受信托的tar文件或当npm CLI在某些文件系统条件下被用来装置不受信托的npm包时,这些误差可能会由于文件笼罩或建设而导致恣意代码执行。本次披露的7个误差如下:

l  CVE-2021-32803:由于目录缓存中毒,可以通过不充分的符号链接掩护来实现恣意文件建设/笼罩,该误差的CVSSv3评分为8.1/8.2。

l  CVE-2021-32804:由于绝对路径整理缺乏而导致恣意文件建设/笼罩,该误差的CVSSv3评分为8.1/8.2。

l  CVE-2021-37701:由于使用符号链接的目录缓存中毒,导致符号链接掩护缺乏,从而导致恣意文件建设/笼罩,该误差的CVSSv3评分为8.2。

l  CVE-2021-37712:由于使用符号链接的目录缓存中毒,导致符号链接掩护缺乏,从而导致恣意文件建设/笼罩,该误差的CVSSv3评分为8.2。

l  CVE-2021-37713:通过不充分的相对路径整理在Windows上建设/笼罩恣意文件,该误差的CVSSv3评分为8.2。

l  CVE-2021-39134:@npmcli/arborist中的UNIX符号链接(Symlink),该误差的CVSSv3评分为7.8/8.2。

l  CVE-2021-39135:@npmcli/arborist中的UNIX符号链接(Symlink),该误差的CVSSv3评分为7.8/8.2。

 

在处置惩罚恶意或不受信托的npm包装置,CVE-2021-32804、CVE-2021-37713、CVE-2021-39134和CVE-2021-39135会影响npm CLI,其中一些误差可能会导致恣意代码执行。

 

影响规模

CVE

影响产品

影响规模

修复版本

参考链接

CVE-2021-32803

 

 

 

 

 

 

 

tar(npm)

 

 

<3.2.3

4.x :<4.4.15

5.x :<5.0.7

6.x :<6.1.2

3.2.3

4.4.15

5.0.7

6.1.2

https://github.com/npm/node-tar/security/advisories/GHSA-r628-mhmh-qjhw

CVE-2021-32804

<3.2.2

4.x :<4.4.14

5.x :<5.0.6

6.x :<6.1.1

3.2.2

4.4.14

5.0.6

6.1.1

https://github.com/npm/node-tar/security/advisories/GHSA-3jfq-g458-7qm9

CVE-2021-37701

<4.4.16

5:<5.0.8

6:<6.1.7

4.4.16

5.0.8

6.1.7

https://github.com/npm/node-tar/security/advisories/GHSA-9r2w-394v-53qc

CVE-2021-37712

6:<=6.1.8

5:<=5.0.9

<=4.4.17

6.1.9

5.0.10

4.4.18

 

 

https://github.com/npm/node-tar/security/advisories/GHSA-qq89-hq3f-393p

CVE-2021-37713

6:<=6.1.8

5:<=5.0.9

<=4.4.17

6.1.9

5.0.10

4.4.18

https://github.com/npm/node-tar/security/advisories/GHSA-5955-9wpr-37jh

CVE-2021-39134

@npmcli/arborist (npm)

<=2.8.1

2.8.2

https://github.com/npm/arborist/security/advisories/GHSA-2h3h-q99f-3fhc

CVE-2021-39135

<=2.8.1

2.8.2

https://github.com/npm/arborist/security/advisories/GHSA-gmw6-94gg-2rc2

 

0x02 处置惩罚建议

现在这些误差已经修复,建议实时升级更新。

l  若是直接装置或打包npm CLI,请更新npm CLI 到6.14.15、7.21.0 或更高版本。(只有CVE-2021-32804、CVE-2021-37713、CVE-2021-39134 和 CVE-2021-39135影响npm CLI)。

l  若是依赖 Node.js 举行 npm 装置,请更新到最新版本的 Node.js v12.22.6、v14.17.6 、v16.8.0 (阻止2021 年 8 月 31 日)或更高版本,它们包括CVE-2021-32804、CVE-2021-37713、CVE-2021-39134 和 CVE-2021-39135 的补丁。

l  若是项目依赖于tar:将依赖项更新到 4.4.19、5.0.11、6.1.10 或更高版本。(详见CVE-2021-32804、CVE-2021-32803、CVE-2021-37701、CVE-2021-37712和CVE-2021-37713链接。)

l  tar的v3分支已经被放弃,建议更新到v6。

 

下载链接:

https://github.com/npm/cli/

 

0x03 参考链接

https://github.blog/2021-09-08-github-security-update-vulnerabilities-tar-npmcli-arborist/

https://github.com/npm/node-tar/security/advisories/GHSA-r628-mhmh-qjhw

https://www.bleepingcomputer.com/news/security/github-finds-7-code-execution-vulnerabilities-in-tar-and-npm-cli/

 

0x04 更新版本

版本

日期

修改内容

V1.0

2021-09-10

首次宣布

 

0x05 文档附录

CNVD:www.cnvd.org.cn

CNNVD:www.cnnvd.org.cn

CVE:cve.mitre.org

NVD:nvd.nist.gov

CVSS:www.first.org

0x06 关于尊龙凯时

关注以下公众号,获取更多资讯:

image.png