Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Node.js vá các lỗ hổng nghiêm trọng trong gói npm
Node.js phát hành bản cập nhật lớn cho gói npm "tar" (hay còn gọi là node-tar) để khắc phục 5 lỗ hổng nghiêm trọng, bao gồm cả lỗi cho phép thực thi mã từ xa.
Gói npm có thể bị tấn công qua lỗ hổng Tạo/Ghi đè tệp tùy ý do không đủ khả năng làm sạch đường dẫn liên quan. Gói npm thể hiện dưới dạng một mô-đun chấp nhận các tệp cấu hình proxy JavaScript và tạo một hàm cho ứng dụng người dùng để định vị các miền nhất định.
Ba lỗ hổng đầu tiên CVE-2021-37712, CVE-2021-37701 và CVE-2021-37701 thuộc loại nguy cơ cao, hai lỗ hổng còn lại được phân loại mức trung bình.
“Cơ chế kiểm soát tính toàn vẹn của đường dẫn không có tác dụng khi giải nén các tệp tar chứa cả thư mục (directory) và liên kết tượng trưng (symlink) cùng tên với thư mục. Trong đó tên symlink và directory trong mục lưu trữ sử dụng dấu “\” làm dấu phân cách đường dẫn trên hệ thống posix”, nêu rõ trong Cơ sở dữ liệu về lỗ hổng bảo mật quốc gia (NVD).
“Logic kiểm tra bộ nhớ cache sử dụng cả hai ký tự` \ `và` / 'làm dấu phân cách đường dẫn, tuy nhiên `\' là một ký tự tên tệp hợp lệ trên hệ thống posix. Bằng cách tạo một directory trước, sau đó thay thế thư mục đó bằng một symlink, từ đó có thể bỏ qua kiểm tra symlink node-tar trên các thư mục. Về cơ bản, điều này cho phép một tệp tar không đáng tin cậy liên kết tượng trưng vào một vị trí tùy ý và sau đó giải nén các tệp tùy ý, từ đó tạo và ghi đè lên”.
Năm lỗi bảo mật này ảnh hưởng nghiêm trọng đến những người sử dụng phiên bản gói npm trước 5.0.0 và:
• Sử dụng các tệp PAC để cấu hình proxy hoặc
• Đọc và sử dụng cấu hình proxy hệ điều hành trong Node.js trên các hệ thống đã bật WPAD hoặc
• Sử dụng cấu hình proxy (env vars, tệp cấu hình, điểm cuối cấu hình từ xa, đối số dòng lệnh) từ một nguồn không tin cậy.
Node-tar nhằm mục đích đảm bảo không trích xuất các tệp có vị trí sửa đổi bởi một liên kết tượng trưng. Lỗ hổng CVE-2021-37712 ảnh hưởng quyền kiểm soát này, do đó tạo ra rủi ro từ các file lưu trữ (archive) tar không đúng định dạng tương tự như lỗ hổng CVE-2021-37701.
Gói npm có thể bị tấn công qua lỗ hổng Tạo/Ghi đè tệp tùy ý do không đủ khả năng làm sạch đường dẫn liên quan. Gói npm thể hiện dưới dạng một mô-đun chấp nhận các tệp cấu hình proxy JavaScript và tạo một hàm cho ứng dụng người dùng để định vị các miền nhất định.
Ba lỗ hổng đầu tiên CVE-2021-37712, CVE-2021-37701 và CVE-2021-37701 thuộc loại nguy cơ cao, hai lỗ hổng còn lại được phân loại mức trung bình.
“Cơ chế kiểm soát tính toàn vẹn của đường dẫn không có tác dụng khi giải nén các tệp tar chứa cả thư mục (directory) và liên kết tượng trưng (symlink) cùng tên với thư mục. Trong đó tên symlink và directory trong mục lưu trữ sử dụng dấu “\” làm dấu phân cách đường dẫn trên hệ thống posix”, nêu rõ trong Cơ sở dữ liệu về lỗ hổng bảo mật quốc gia (NVD).
“Logic kiểm tra bộ nhớ cache sử dụng cả hai ký tự` \ `và` / 'làm dấu phân cách đường dẫn, tuy nhiên `\' là một ký tự tên tệp hợp lệ trên hệ thống posix. Bằng cách tạo một directory trước, sau đó thay thế thư mục đó bằng một symlink, từ đó có thể bỏ qua kiểm tra symlink node-tar trên các thư mục. Về cơ bản, điều này cho phép một tệp tar không đáng tin cậy liên kết tượng trưng vào một vị trí tùy ý và sau đó giải nén các tệp tùy ý, từ đó tạo và ghi đè lên”.
Năm lỗi bảo mật này ảnh hưởng nghiêm trọng đến những người sử dụng phiên bản gói npm trước 5.0.0 và:
• Sử dụng các tệp PAC để cấu hình proxy hoặc
• Đọc và sử dụng cấu hình proxy hệ điều hành trong Node.js trên các hệ thống đã bật WPAD hoặc
• Sử dụng cấu hình proxy (env vars, tệp cấu hình, điểm cuối cấu hình từ xa, đối số dòng lệnh) từ một nguồn không tin cậy.
Node-tar nhằm mục đích đảm bảo không trích xuất các tệp có vị trí sửa đổi bởi một liên kết tượng trưng. Lỗ hổng CVE-2021-37712 ảnh hưởng quyền kiểm soát này, do đó tạo ra rủi ro từ các file lưu trữ (archive) tar không đúng định dạng tương tự như lỗ hổng CVE-2021-37701.
Nguồn: eHacking News