GitHub pakt ernstige kwetsbaarheden in Node.js-pakketten aan

GitHub heeft talloze kwetsbaarheden opgelost in Node.js-pakketten tar en @npmcli/arborist, waarbij de ergste het overschrijven van bestanden en het uitvoeren van willekeurige code toestaat.

Op woensdag zei GitHub dat het bedrijf tussen 21 juli en 13 augustus rapporten heeft ontvangen van Robert Chen en Philip Papurt over beveiligingsfouten die van invloed zijn op de pakketten via een van GitHub’s bug bounty-programma’s, die onderzoekers krediet en financiële beloningen geven voor het op verantwoorde wijze onthullen van kwetsbaarheden aan de leverancier.

Mike Hanley, Chief Security Officer van GitHub, zegt dat deze rapporten GitHub ertoe hebben aangezet zijn eigen beoordeling van tar en @npmcli/arborist uit te voeren, wat leidde tot de ontdekking van aanvullende beveiligingsproblemen.

Het tar Node.js-pakket wordt gebruikt om het tar-archiefsysteem op Unix na te bootsen, terwijl @npmcli/arborist is ontwikkeld om node_modules-bomen te beheren. Tar is een kern-npm-afhankelijkheid voor npm-pakketextractie en @npmcli/arborist is een kernafhankelijkheid voor npm CLI.

Node-tar was op het moment van schrijven goed voor 22.390.735 wekelijkse downloads, terwijl @npmcli/arborist de afgelopen week 405.551 keer is gedownload.

In totaal zijn zeven kwetsbaarheden geverifieerd via de bug bounty-rapporten en het beveiligingsteam van GitHub’s bevindingen:

Teer:

  • CVE-2021-32803, hoge impact: Willekeurig aanmaken/overschrijven van bestanden via onvoldoende symlink-beveiliging. Een kwaadaardig tar-archief kan willekeurige bestanden maken/overschrijven met de privileges van het proces dat tar gebruikt.
  • CVE-2021-32804, grote impact: willekeurig maken/overschrijven van bestanden vanwege onvoldoende opschoning van absoluut pad. Schadelijke npm-pakketten kunnen bestanden maken/overschrijven met de rechten van de gebruiker die de installatie uitvoert, wat leidt tot uitvoering van code.
  • CVE-2021-37701, grote impact: een probleem met padscheiding in bestandsnamen kan ertoe leiden dat kwaadwillende tar-archieven willekeurige bestanden maken/overschrijven met de privilegeniveaus van het proces dat tar uitvoert.
  • CVE-2021-37712, grote impact: Unicode-conversies en semantiek van Windows 8.3-bestandsnamen kunnen leiden tot vergiftiging van de directorycache en het omzeilen van symlinkcontroles, wat kan leiden tot het willekeurig maken en overschrijven van bestanden.
  • CVE-2021-37713, grote impact: willekeurig aanmaken/overschrijven van bestanden op Windows via onvoldoende relatieve padopschoning. Schadelijke npm-pakketten kunnen bestanden maken en overschrijven buiten hun installatieroot, met gebruikersrechten.

@npmcli/boomverzorger:

  • CVE-2021-39134, gemiddelde impact: een probleem met de manier waarop symbolische koppelingen binnen de node_modules-boom worden verwerkt. Exploitatie kan ertoe leiden dat kwaadaardige pakketten bestanden overschrijven buiten een installatiehoofdmap met gebruikersrechten.
  • CVE-2021-39135, gemiddelde impact: dit beveiligingslek heeft ook gevolgen voor de verwerking van symbolische koppelingen, met name wanneer niet-vertrouwde pakketten worden geïnstalleerd op hoofdletterongevoelige bestandssystemen.

“CVE-2021-32804, CVE-2021-37713, CVE-2021-39134 en CVE-2021-39135 hebben specifiek een beveiligingsimpact op de npm CLI bij het verwerken van een kwaadaardige of niet-vertrouwde npm-pakketinstallatie”, zegt GitHub. “Sommige van deze problemen kunnen resulteren in het uitvoeren van willekeurige code, zelfs als u –ignore-scripts gebruikt om de verwerking van pakketlevenscyclusscripts te voorkomen.”

Om ontwikkelaars bewust te maken van deze bugs, heeft GitHub 16,7 miljoen Dependabot-waarschuwingen gemaakt en 1,8 miljoen meldingen vrijgegeven.

GitHub heeft projectmanagers verzocht die npm CLI gebruiken en deze rechtstreeks downloaden om te upgraden naar v6.14.15, v7.21.0 of nieuwer. Als Node.js in gebruik is, raadt de organisatie een upgrade aan naar de nieuwste releases van Node 12, 14 of 16, die allemaal patches bevatten om de beveiligingsfouten op te lossen. Tar-gebruikers kunnen nu upgraden naar versies 4.4.19, 5.0.11 en 6.1.10. De nieuwste versie van @npmcli/arborist die beschikbaar is, is 2.8.3.

Chen en Papurt hebben een gecombineerde premie van $ 14.500 ontvangen voor hun rapporten.

Vorige en gerelateerde dekking


Heb je een tip? Veilig contact opnemen via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0


Posted By : keluaran sidney hari ini