node-tar多個(gè)任意文件創(chuàng)建/覆蓋漏洞

2021年8月23日，node.js發(fā)布了安全通告，其中包含了CVE-2021-32803 和CVE-2021-32804任意文件創(chuàng)建\覆蓋漏洞的漏洞修復(fù)。

CVE-2021-32803

當(dāng)提取包含目錄和與目錄同名的符號(hào)鏈接的 tar 文件時(shí)，此邏輯是不夠的。此操作順序?qū)е聞?chuàng)建目錄并將其添加到node-tar目錄緩存中。當(dāng)目錄緩存中存在目錄時(shí)，將跳過(guò)對(duì)該目錄的后續(xù) mkdir 調(diào)用。

CVE-2021-32804

當(dāng)文件路徑包含重復(fù)的路徑根（如////home/user/.bashrc. node-tar只會(huì)從這些路徑中剝離單個(gè)路徑根。當(dāng)給定具有重復(fù)路徑根的絕對(duì)文件路徑時(shí)，生成的路徑（例如///home/user/.bashrc）仍將解析為絕對(duì)路徑，從而允許任意文件創(chuàng)建和覆蓋。

漏洞名稱(chēng)：node-tar多個(gè)任意文件創(chuàng)建/覆蓋漏洞

漏洞類(lèi)型：任意文件創(chuàng)建\覆蓋

危害等級(jí)：高危

漏洞編號(hào)：CVE-2021-32803、CVE-2021-32804

廠商：node.js

發(fā)布時(shí)間：2021/08/31

CVE-2021-32803受影響版本

< 3.2.3

>= 4.0.0, < 4.4.15

>= 5.0.0, < 5.0.7

>= 6.0.0, < 6.1.2

CVE-2021-32804受影響版本

< 3.2.2

>= 4.0.0, < 4.4.14

>= 5.0.0, < 5.0.6

>= 6.0.0, < 6.1.1

1、廠商已發(fā)布最新補(bǔ)丁版本，建議用戶盡快更新至安全版本。

注意：相鄰問(wèn)題CVE-2021-32803會(huì)影響CVE-2021-32804級(jí)別。如果此相鄰問(wèn)題影響到您的用例，請(qǐng)確保您更新到解決CVE-2021-32803的最新補(bǔ)丁。

2、

CVE-2021-32803漏洞，用戶可以通過(guò)創(chuàng)建filter防止提取符號(hào)鏈接的自定義方法來(lái)繞過(guò)此漏洞，而無(wú)需升級(jí)

CVE-2021-32804漏洞，用戶可以在不升級(jí)的情況下解決此漏洞，onentry方法是創(chuàng)建一個(gè)自定義方法來(lái)清理entry.path或filter刪除具有絕對(duì)路徑的條目

參考鏈接

鏈接：

https://github.com/advisories/GHSA-r628-mhmh-qjhw

https://github.com/advisories/GHSA-3jfq-g458-7qm9