GA黄金甲

首页 > 安全钻研 > 安全传递 > 安全公告

【缝隙公告】tar & @npmcli/arborist 9月多个安全缝隙

颁布功夫 2021-09-10

0x00 缝隙概述

2021年9月8日，GitHub安全团队公开披露了在npm CLI 使用的 npm 包tar和@npmcli/arborist中发现的7个安全缝隙，攻击者能够利用这些缝隙覆盖肆意文件、创建肆意文件或执行肆意代码。

0x01 缝隙详情

tar是npm的一个主题依赖，用于提取和装置npm包。@npmcli/arborist是npm CLI的一个主题依赖项，用于治理node_modules树。

当tar被用来提取不受信赖的tar文件或当npm CLI在某些文件系统前提下被用来装置不受信赖的npm包时，这些缝隙可能会由于文件覆盖或创建而导致肆意代码执行。本次披露的7个缝隙如下：

l CVE-2021-32803：由于目录缓存中毒，能够通过不充分的符号链接�；だ词迪炙烈馕募唇�/覆盖，该缝隙的CVSSv3评分为8.1/8.2。

l CVE-2021-32804：由于绝对蹊径算帐不及而导致肆意文件创建/覆盖，该缝隙的CVSSv3评分为8.1/8.2。

l CVE-2021-37701：由于使用符号链接的目录缓存中毒，导致符号链接�；げ患�，从而导致肆意文件创建/覆盖，该缝隙的CVSSv3评分为8.2。

l CVE-2021-37712：由于使用符号链接的目录缓存中毒，导致符号链接�；げ患�，从而导致肆意文件创建/覆盖，该缝隙的CVSSv3评分为8.2。

l CVE-2021-37713：通过不充分的相对蹊径算帐在Windows上创建/覆盖肆意文件，该缝隙的CVSSv3评分为8.2。

l CVE-2021-39134：@npmcli/arborist中的UNIX符号链接（Symlink），该缝隙的CVSSv3评分为7.8/8.2。

l CVE-2021-39135：@npmcli/arborist中的UNIX符号链接（Symlink），该缝隙的CVSSv3评分为7.8/8.2。

在处置恶意或不受信赖的npm包装置，CVE-2021-32804、CVE-2021-37713、CVE-2021-39134和CVE-2021-39135会影响npm CLI，其中一些缝隙可能会导致肆意代码执行。

影响领域

CVE	影响产品	影响领域	建复版本	参考链接
CVE-2021-32803	tar(npm)	<3.2.3 4.x ：<4.4.15 5.x ：<5.0.7 6.x ：<6.1.2	3.2.3 4.4.15 5.0.7 6.1.2	https://github.com/npm/node-tar/security/advisories/GHSA-r628-mhmh-qjhw
CVE-2021-32804		<3.2.2 4.x ：<4.4.14 5.x ：<5.0.6 6.x ：<6.1.1	3.2.2 4.4.14 5.0.6 6.1.1	https://github.com/npm/node-tar/security/advisories/GHSA-3jfq-g458-7qm9
CVE-2021-37701		<4.4.16 5：<5.0.8 6：<6.1.7	4.4.16 5.0.8 6.1.7	https://github.com/npm/node-tar/security/advisories/GHSA-9r2w-394v-53qc
CVE-2021-37712		6：<=6.1.8 5：<=5.0.9 <=4.4.17	6.1.9 5.0.10 4.4.18	https://github.com/npm/node-tar/security/advisories/GHSA-qq89-hq3f-393p
CVE-2021-37713		6：<=6.1.8 5：<=5.0.9 <=4.4.17	6.1.9 5.0.10 4.4.18	https://github.com/npm/node-tar/security/advisories/GHSA-5955-9wpr-37jh
CVE-2021-39134	@npmcli/arborist (npm)	<=2.8.1	2.8.2	https://github.com/npm/arborist/security/advisories/GHSA-2h3h-q99f-3fhc
CVE-2021-39135	@npmcli/arborist (npm)	<=2.8.1	2.8.2	https://github.com/npm/arborist/security/advisories/GHSA-gmw6-94gg-2rc2

0x02 措置建议

目前这些缝隙已经建复，建议实时升级更新。

l 若是直接装置或打包npm CLI，请更新npm CLI 到6.14.15、7.21.0 或更高版本。（只有CVE-2021-32804、CVE-2021-37713、CVE-2021-39134 和 CVE-2021-39135影响npm CLI）。

l 若是依赖 Node.js 进行 npm 装置，请更新到最新版本的 Node.js v12.22.6、v14.17.6 、v16.8.0 （截至2021 年 8 月 31 日）或更高版本，它们蕴含CVE-2021-32804、CVE-2021-37713、CVE-2021-39134 和 CVE-2021-39135 的补丁。

l 若是项目依赖于tar：将依赖项更新到 4.4.19、5.0.11、6.1.10 或更高版本。（详见CVE-2021-32804、CVE-2021-32803、CVE-2021-37701、CVE-2021-37712和CVE-2021-37713链接。）

l tar的v3分支已经被拔除，建议更新到v6。

下载链接：

https://github.com/npm/cli/

0x03 参考链接

https://github.blog/2021-09-08-github-security-update-vulnerabilities-tar-npmcli-arborist/

https://github.com/npm/node-tar/security/advisories/GHSA-r628-mhmh-qjhw

https://www.bleepingcomputer.com/news/security/github-finds-7-code-execution-vulnerabilities-in-tar-and-npm-cli/

0x04 更新版本

版本	日期	批改内容
V1.0	2021-09-10	初次颁布

0x05 文档附录

CNVD：www.cnvd.org.cn

CNNVD：www.cnnvd.org.cn

CVE：cve.mitre.org

NVD：nvd.nist.gov

CVSS：www.first.org

0x06 关于GA黄金甲

关注以下公家号，获取更多资讯：

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】