GitHub發現“tar”和 npm CLI 7個程式碼執行漏洞 影響Windows及unix使用者
GitHub安全團隊在npm CLI使用的npm包“tar”和“@npmcli/arborist”中發現了幾個高危漏洞。
tar包每週平均有2000萬次的下載量,而arborist每週的下載量超過30萬次。
這些漏洞既影響Windows使用者,也影響基於unix的使用者,如果不打補丁,攻擊者就可以利用這些漏洞在安裝不受信任的npm包的系統上任意執行程式碼。
今年7月至8月間,安全研究人員和漏洞賞金計劃成員Robert Chen和Philip Papurt在開源Node.js包、tar和@npmcli/arborist中發現了任意程式碼執行漏洞。
發現這些漏洞後,研究人員透過GitHub的漏洞賞金程式私下通知了npm。
在進一步審查研究人員的報告後,GitHub安全團隊在上述軟體包中發現了一些更嚴重的漏洞,影響基於Windows和unix的系統。
Node.js 包tar仍然是需要在安裝後解壓npm包的安裝程式的核心依賴項。該軟體包還被數千個其他開源專案使用,因此每週大約有2000萬次下載量。arborist包是npm CLI所依賴的核心依賴項,用於管理node_modules樹。
對於使用npm CLI安裝不受信任的npm包或使用“tar”提取不受信任的包的開發人員來說,這些ZIP滑位漏洞帶來了一個問題。
預設情況下,npm包以.tar.gz或.tgz檔案的形式釋出,它們是類似於zip的歸檔檔案,因此需要透過安裝工具解壓。
理想情況下,提取這些歸檔檔案的工具應該確保歸檔中的任何惡意路徑不會覆蓋檔案系統上的現有檔案,特別是敏感檔案。
但是,由於下面列出的漏洞,當提取npm包時,可以使用執行npm install命令的使用者的許可權覆蓋任意檔案:
CVE-2021-32803
CVE-2021-32804
CVE-2021-37701
CVE-2021-37712
CVE-2021-37713
CVE-2021-39134
CVE-2021-39135
GitHub首席安全官Mike Hanley解釋說:“CVE-2021-32804、CVE-2021-37713、CVE-2021-39134和CVE-2021-39135在處理惡意或不受信任的npm包安裝時,會對npm CLI產生安全影響。”
其中一些問題可能導致任意的程式碼執行,即使您正在使用—ignore-scripts來阻止包生命週期指令碼的處理。
npm敦促使用者修復漏洞
9月8日,GitHub旗下的npm也在推特上敦促開發者儘快修復這些漏洞:
建議操作:根據最新發現的' tar '和' @npmcli/arborist '漏洞,我們建議升級到最新版本的@nodejs 12 / 14 / 16或NPM 6 / 7,並更新您可能對' tar '的任何依賴。
開發人員應該儘快將tar依賴版本升級到4.4.19、5.0.11或6.1.10,並升級@npmcli/arborist版本2.8.2以修補漏洞。
對於npm CLI, 版本 v6.14.15、v7.21.0或更新版本包含修補程式。此外,根據GitHub的說法,Node.js版本12、14或16都帶有固定的tar版本,可以安全地升級到這個版本。
開原始碼已經成為企業開發不可或缺的一部分,但其中軟體包及程式碼的安全性卻無法確定。據Synopsis稱,目前84%的程式碼庫至少存在一個安全漏洞。由於開源軟體依賴於第三方程式碼鏈,安全團隊通常很難獲得依賴性供應鏈的全部可見性,而在那些不易察覺的地方的任何漏洞都可能導致整個網路受到破壞。
任何企業都不想遭到網路攻擊,但將不安全的程式碼引入軟體會大大增加遭到網路攻擊風險。建議企業在軟體開發過程中或進行DevsecOps建設時,進行 靜態程式碼安全檢測及開原始碼安全測試,以確保自研程式碼及開原始碼安全,同時提高軟體安全性降低遭到網路攻擊的風險。
參讀連結:
https://www.bleepingcomputer.com/news/security/github-finds-7-code-execution-vulnerabilities-in-tar-and-npm-cli/
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2791377/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- GitHub漏洞允許任意程式碼執行,Windows不受影響GithubWindows
- Git 爆任意程式碼執行漏洞,所有使用者都受影響Git
- WinRAR被曝存嚴重程式碼執行漏洞 19年影響5億使用者!
- Windows漏洞:MS08-067遠端程式碼執行漏洞復現及深度防禦Windows
- Qt5 GUI 開發的應用易受遠端程式碼執行漏洞的影響QTGUI
- 某遠端程式碼執行漏洞影響超過70個不同的CCTV-DVR供應商的漏洞分析VR
- RCE(遠端程式碼執行漏洞)原理及漏洞利用
- 最新發現!Windows 11也受本地提權漏洞HiveNightmare影響WindowsHive
- PHP CGI Windows下遠端程式碼執行漏洞PHPWindows
- crash_for_windows_pkg遠端程式碼執行漏洞Windows
- 每週數百萬下載量!NPM包修復了一個遠端程式碼執行漏洞NPM
- Windows 使用者執行 NPM run watch-poll 報錯的原因及解決方法WindowsNPM
- osi7層模型及執行緒和程式模型執行緒
- 新的安全漏洞正影響 CentOS 和 Red Hat Linux 發行版CentOSLinux
- XAMPP Windows PHP-CGI 程式碼執行漏洞(CVE-2024-4577) | Goby漏洞預警WindowsPHPGo
- ThinkPHP遠端程式碼執行漏洞PHP
- phpunit 遠端程式碼執行漏洞PHP
- 遠端桌面協議 CredSSP 出現漏洞,影響所有版本的 Windows協議Windows
- Windows Media Center .MCL檔案程式碼執行漏洞(MS16-059)Windows
- 最新漏洞:Spring Framework遠端程式碼執行漏洞SpringFramework
- CSS3實現動畫不會影響主執行緒,JS實現動畫會影響主執行緒CSSS3動畫執行緒JS
- Steam客戶端發現遠端程式碼執行漏洞:已放補丁客戶端
- 微軟谷歌發現新的晶片漏洞 英特爾和AMD等受影響微軟谷歌晶片
- linux下影響程式碼執行時序(時延大)的可能原因Linux
- 【漏洞預警】WordPress檔案刪除功能引發程式碼執行漏洞
- ThinkPHP 5.0.23 遠端程式碼執行漏洞PHP
- OpenWRT 曝遠端程式碼執行漏洞
- Joomla遠端程式碼執行漏洞分析OOM
- XYHCMS 3.6 後臺程式碼執行漏洞
- GitHub Actions安全漏洞可使攻擊者繞過程式碼審查機制 影響受保護分支Github
- 微軟審查發現Perforce Helix Core Server存在四個漏洞,可導致遠端程式碼執行微軟Server
- Electron流行開源框架存在XSS漏洞 github wordpress等均受影響框架Github
- 新的嚴重安全漏洞影響CODESYS工業自動化軟體 或可導致遠端程式碼執行
- OGNL設計及使用不當造成的遠端程式碼執行漏洞
- 什麼是遠端程式碼執行漏洞?
- Fastjson 程式碼執行漏洞 CVE-2022-25845ASTJSON
- .NET Remoting 遠端程式碼執行漏洞探究REM
- WindowsJScript元件曝遠端程式碼執行漏洞WindowsJS元件