查看原文
其他

GitHub 在 “tar” 和 npm CLI 中发现7个高危的代码执行漏洞

Ax Sharma 代码卫士 2022-04-06

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士



GitHub 安全团队在 npm CLI 使用的 “tar” 和 “@npmcli/arborist”中找到多个高危漏洞。


Tar 数据包平均每周的下载量为2000万次,而 arborist 的下载次数超过30万次。这些漏洞同时影响 Windows 和Unix 用户。如不修复,可被攻击者用于在安装了不受信任的 npm 包的系统上执行任意代码。

获1.45万美元奖金

在今年七八月间,安全研究员兼漏洞猎人 Robert Chen 和 Philip Papurt 在开源的 Node.js 包 tar 和 @npmcli/arborist 中发现了多个任意代码执行漏洞。发现后,他们通过 GitHub 的其中一个漏洞奖励计划私下告知 npm。在进一步审计这些报告后,GitHub 安全团队在之前提到的软件包中找到了更多的高危漏洞,它们同时影响 Windows 和 Unix 系统。

Node.js 软件包 tar 仍然是需要在安装后解压 npm 软件包的安装工具的核心依赖关系。该软件包也用于数千个其它开源项目中,因此每周的下载量约2000万次。Arborist 软件包也是由 npm CLI 所依赖的核心依赖关系,用于管理 node_modules 树。

这些 ZIP slip 漏洞为使用 npm CLI 或使用 “tar” 提取不可信软件包安装不受信任 npm 包的开发人员带来了问题。在默认情况下,npm 软件包交付为 .tar.gz 或.tgz 文件,它们均为 ZIP 文档,因此需要由安装工具提取。在理想情况下,提取这些文档的工具应当确保文档内的任意恶意路径不会覆写现有文件,尤其是覆写文件系统上的敏感文件。但由于存在如下漏洞,npm包在被提取时可以运行 npm install 命令的用户权限覆写文件:

  • CVE-2021-32803

  • CVE-2021-32804

  • CVE-2021-37701

  • CVE-2021-37712

  • CVE-2021-37713

  • CVE-2021-39134

  • CVE-2021-39135

GitHub 的首席安全官 Mike Hanley 指出,“CVE-2021-32804、CVE-2021-37713、CVE-2021-39134和CVE-2021-39135 在处理恶意或不可信的 npm 包安装都会对 npm CLI 产生安全影响。其中一些问题可能导致任意代码执行后果,即使用ignore-scripts 阻止对程序包生命周期脚本的处理也不例外。”

GitHub 安全团队为两名研究员共颁发了1.45万美元的奖励金。

Npm 督促用户修复漏洞

GitHub 旗下的npm 也在督促开发人员尽快修复这些漏洞。

开发人员应当将 tar 依赖关系版本升级至4.4.19.5、5.0.11或6.1.10版本并升级 @npmcli/arborist 版本2.8.2,修复这些漏洞。Npm CLI 版本6.14.15、7.21.0或更新版本包含该修复方案。此外,也可安全升级至tar 版本的Node.js 版本12、14或16。

完整漏洞详情可见:https://github.blog/2021-09-08-github-security-update-vulnerabilities-tar-npmcli-arborist/





开奖啦!!!!!】
限时赠书|《软件供应链安全—源代码缺陷实例剖析》新书上市
上次的限时赠书活动中奖名单已出炉,恭喜以下同学中奖,请未填写地址的同学在微信后台私信地址,我们已经发出部分书籍啦。

@whyseu @。@HFwuhome@惊蛰 @nimo @XuZ @淡然 @Marco韬 @王孟 @Wecat@nwnλ @MOBE @湘北二两西香葱@※ @搬砖小土妞@云烟过眼 @r00t@小风 @傲雪@最好走的路是套路 @Zhao.xiaojun @浅笑淡然 @X-Star @Erick2013 @小秦同学 @X @王骏 @欢寻 @nbp@Mr. Guo

大家可移步京东电子工业出版社一睹为快!或直接点击“原文链接”购买。


如下是本书相关讲解:



推荐阅读
刚刚GitHub 收购 npm,旨在提升开源软件供应链安全
流行的 NPM 包依赖关系中存在远程代码执行缺陷
如何避免 npm 替换攻击?
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
Npm 恶意包试图窃取 Discord 敏感信息和浏览器文件





原文链接

https://www.bleepingcomputer.com/news/security/github-finds-7-code-execution-vulnerabilities-in-tar-and-npm-cli/



题图:Pixabay License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存