【漏洞报送】node-tar多个任意文件创建/覆盖漏洞

admin 2022年1月14日19:54:40安全漏洞评论14 views1058字阅读3分31秒阅读模式

1

【漏洞报送】node-tar多个任意文件创建/覆盖漏洞

1

漏洞报送


Thunder


【漏洞报送】node-tar多个任意文件创建/覆盖漏洞


Stone  



node-tar多个任意文件创建/覆盖漏洞


01漏洞描述


2021年8月23日,node.js发布了安全通告,其中包含了CVE-2021-32803 和CVE-2021-32804任意文件创建覆盖漏洞的漏洞修复。

CVE-2021-32803

当提取包含目录和与目录同名的符号链接的 tar 文件时,此逻辑是不够的。此操作顺序导致创建目录并将其添加到node-tar目录缓存中。当目录缓存中存在目录时,将跳过对该目录的后续 mkdir 调用。

CVE-2021-32804

当文件路径包含重复的路径根(如////home/user/.bashrc. node-tar只会从这些路径中剥离单个路径根。当给定具有重复路径根的绝对文件路径时,生成的路径(例如///home/user/.bashrc)仍将解析为绝对路径,从而允许任意文件创建和覆盖。


02漏洞信息


漏洞名称:node-tar多个任意文件创建/覆盖漏洞


漏洞类型:任意文件创建覆盖


危害等级:高危


漏洞编号:CVE-2021-32803、CVE-2021-32804


厂商:node.js


发布时间:2021/08/31


03影响版本


CVE-2021-32803受影响版本

< 3.2.3

>= 4.0.0, < 4.4.15

>= 5.0.0, < 5.0.7

>= 6.0.0, < 6.1.2


CVE-2021-32804受影响版本

< 3.2.2

>= 4.0.0, < 4.4.14

>= 5.0.0, < 5.0.6

>= 6.0.0, < 6.1.1


04修复建议


1、厂商已发布最新补丁版本,建议用户尽快更新至安全版本。

注意:相邻问题CVE-2021-32803会影响CVE-2021-32804级别。如果此相邻问题影响到您的用例,请确保您更新到解决CVE-2021-32803的最新补丁。

2、

CVE-2021-32803漏洞,用户可以通过创建filter防止提取符号链接的自定义方法来绕过此漏洞,而无需升级

CVE-2021-32804漏洞,用户可以在不升级的情况下解决此漏洞,onentry方法是创建一个自定义方法来清理entry.path或filter删除具有绝对路径的条目


参考链接

链接:

https://github.com/advisories/GHSA-r628-mhmh-qjhw

https://github.com/advisories/GHSA-3jfq-g458-7qm9




【漏洞报送】node-tar多个任意文件创建/覆盖漏洞

长按关注

雷石安全实验室


本文始发于微信公众号(雷石安全实验室):【漏洞报送】node-tar多个任意文件创建/覆盖漏洞

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月14日19:54:40
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【漏洞报送】node-tar多个任意文件创建/覆盖漏洞 http://cn-sec.com/archives/501380.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: