Darbe
Keyfi Dosya oluşturma, Keyfi Dosya Üzerine Yazma, Keyfi Kod Yürütme
node-tar, işareti sembolik bir bağlantı ile değiştirilecek olan herhangi bir dosyanın ayıklanmamasını garanti etmeyi iptal edebilir. Bu, "evrenlerin sembolik ilişkisini geliştirmekle elde edilir. Ek olarak, bir tanıtılacak bir listeden model için kullanılacak stat eklemelerini için, listelerken yollardan önbelleğe alınır.
Bu mantıksal, iki dizin içeren tar ve aynı sistem içindeki normalize edilmiş unicode içeriği içeren reklamlara sahip bir sembolik olay çıkarken yetersizdi. Ek olarak, Windows sistemleri, uzun yol bölümleri, 8.3 "kısa yol" yardımlarıyla aynı dosya sistemi bir çözümlenir. Bu özel, özel olarak hazırlanmış bir tar arşivi, yinelenen iki dosya sistemi ile aynı modelde bulunan dizileri, ikinci kullanıcı bir bir dosyaya sahip ve son olarak ikinci kullanıcı bir bir dosyaya sahip.Bu, dizinlerdeki düğüm-tar sembolik kontrollerini atlamaya yol açtı, esasen güvenilmeyen bir tar örneğinden küçük bir şekilde bir doğacak cana ve tatilden beklenmeyenlerden size izin verir.
v3 dalı node-tarkullanımdan kaldırılmış ve bu sorunlar için düzeltme eki alındı. Hâlâ bir v3 sürümü mevcuttur, yeni bir sürümenizi daha fazla kullanıma sunar node-tar. Bu çocuğunuza, bir geçici çözüm mevcuttur.
Yamalar
6.1.9 || 5.0.10 || 4.4.18
geçici çözümler
Tanıtılan, sembollerin bağların çıkarılmasıyla ilgili ayrıntılı incelemeden önden geçen bu güvenlik sorunlarıyla çözümlenebilir.
const tar = gerektirir ( 'tar' )
katran . x ( {
dosya : 'archive.tgz' ,
filtre : ( dosya , giriş ) => {
if ( giriş . type === 'SymbolicLink' ) {
return false
} else {
return true
}
}
} )
Kullanıcıların katran girişlerini iyileştirecek şekilde çalışma yerine en son yamalı sürümlere sunulmaları önerilir.
Düzeltmek
Dizin ön incelemebelleğindeki ve yol için ön inceleme koşulları değerlendirilirken sorun giderilir ele alınır:
String.normalize('NFKD')uyumlu ve çok kod nokta Yöntem biçiminde ilk normalize tüm Unicode kullanılır.
Tüm eğik çizelgeler /Windows prosedürleri normalleştirilir (posix sistemi, \bir dosya adı modeldir ve bu gibi uygulamalar gibi).
Windows sistemik bir bağlantı ile karşılaşıldığında, tüm dizin önbelleği. Kullanıcıları (simgesel olmayan) girişler ile basit bir dizi için 8.3 kısa adın kullanımıyla zamanlamalar, arşivlerin düzgün şekilde çıkarılamamasına neden olabilir, senaryo dosya yazmalarına neden olmaz.
referanslar
GHSA-qq89-hq3f-393p
https://www.npmjs.com/package/tar
https://nvd.nist.gov/vuln/detail/CVE-2021-37712
https://www.oracle.com/security-alerts/cpuoct2021.html
Darbe
Keyfi Dosya oluşturma, Keyfi Dosya Üzerine Yazma, Keyfi Kod Yürütme
node-tar, işareti sembolik bir bağlantı ile değiştirilecek olan herhangi bir dosyanın ayıklanmamasını garanti etmeyi iptal edebilir. Bu, "evrenlerin sembolik ilişkisini geliştirmekle elde edilir. Ek olarak, bir tanıtılacak bir listeden model için kullanılacak stat eklemelerini için, listelerken yollardan önbelleğe alınır.
Bu mantıksal, iki dizin içeren tar ve aynı sistem içindeki normalize edilmiş unicode içeriği içeren reklamlara sahip bir sembolik olay çıkarken yetersizdi. Ek olarak, Windows sistemleri, uzun yol bölümleri, 8.3 "kısa yol" yardımlarıyla aynı dosya sistemi bir çözümlenir. Bu özel, özel olarak hazırlanmış bir tar arşivi, yinelenen iki dosya sistemi ile aynı modelde bulunan dizileri, ikinci kullanıcı bir bir dosyaya sahip ve son olarak ikinci kullanıcı bir bir dosyaya sahip.Bu, dizinlerdeki düğüm-tar sembolik kontrollerini atlamaya yol açtı, esasen güvenilmeyen bir tar örneğinden küçük bir şekilde bir doğacak cana ve tatilden beklenmeyenlerden size izin verir.
v3 dalı node-tarkullanımdan kaldırılmış ve bu sorunlar için düzeltme eki alındı. Hâlâ bir v3 sürümü mevcuttur, yeni bir sürümenizi daha fazla kullanıma sunar node-tar. Bu çocuğunuza, bir geçici çözüm mevcuttur.
Yamalar
6.1.9 || 5.0.10 || 4.4.18
geçici çözümler
Tanıtılan, sembollerin bağların çıkarılmasıyla ilgili ayrıntılı incelemeden önden geçen bu güvenlik sorunlarıyla çözümlenebilir.
const tar = gerektirir ( 'tar' )
katran . x ( {
dosya : 'archive.tgz' ,
filtre : ( dosya , giriş ) => {
if ( giriş . type === 'SymbolicLink' ) {
return false
} else {
return true
}
}
} )
Kullanıcıların katran girişlerini iyileştirecek şekilde çalışma yerine en son yamalı sürümlere sunulmaları önerilir.
Düzeltmek
Dizin ön incelemebelleğindeki ve yol için ön inceleme koşulları değerlendirilirken sorun giderilir ele alınır:
String.normalize('NFKD')uyumlu ve çok kod nokta Yöntem biçiminde ilk normalize tüm Unicode kullanılır.
Tüm eğik çizelgeler /Windows prosedürleri normalleştirilir (posix sistemi, \bir dosya adı modeldir ve bu gibi uygulamalar gibi).
Windows sistemik bir bağlantı ile karşılaşıldığında, tüm dizin önbelleği. Kullanıcıları (simgesel olmayan) girişler ile basit bir dizi için 8.3 kısa adın kullanımıyla zamanlamalar, arşivlerin düzgün şekilde çıkarılamamasına neden olabilir, senaryo dosya yazmalarına neden olmaz.
referanslar
GHSA-qq89-hq3f-393p
https://www.npmjs.com/package/tar
https://nvd.nist.gov/vuln/detail/CVE-2021-37712
https://www.oracle.com/security-alerts/cpuoct2021.html