CERTMIL

Centrul de Răspuns la Incidente de Securitate Cibernetică

Vulnerabilități în pachetele Node.js

Cei de la GitHub au descoperit vulnerabilități care permit executarea codului de la distanță în pachetele Node.js „tar” și „@npmcli/arborist,”.

Pachetul tar a înregistrat 20 de milioane de descărcări săptămânale, în timp ce arborist a fost descărcat de peste 300.000 de ori în fiecare săptămână. Vulnerabilitățile din pachetele Node.js pot afecta atât utilizatorii Windows, cât și Unix, iar dacă sunt neactualizate atacatorii ar putea executa coduri de la distanță.

În urma descoperirii acestor vulnerabilități, cercetătorii din domeniul securității au raportat executabilul npm, prin intermediul unuia dintre programele GitHub. Examinarea ulterioară a rapoartelor lor a determinat descoperirea altor vulnerabilități de severitate ridicată.

Pachetul tar este o dependință pentru instalările care necesită pachete npm neîmpachetate, iar arborist se bazează pe npm CLI și gestionează node_modules.

Aceste vulnerabilități de tip ZIP slip pot fi o problemă serioasă pentru dezvoltatorii care instalează pachete npm care nu sunt de încredere folosind npm CLI sau „tar” pentru a extrage pachetele. În mod implicit, pachetele npm sunt livrate ca .tar.gz sau .tgz. De preferat ar fi ca instrumentele utilizate pentru a extrage aceste arhive ar trebui să se asigure că path-urile malițioase nu suprascriu fișierele existente în sistemul de fișiere, în special fișierele sensibile.

Totodată, pachetul npm, atunci când este extras, ar putea suprascrie fișiere arbitrare cu drepturile utilizatorului care execută comanda npm install din cauza vulnerabilităților: CVE-2021-32803, CVE-2021-32804, CVE-2021-37701, CVE-2021-37712, CVE-2021-37713 și CVE-2021-39134.

Mike Hanley, Chief Security Officer la GitHub, a explicat că o parte din aceste vulnerabilități regăsite ca, CVE-2021-32804, CVE-2021-37713, CVE-2021-39134 și CVE-2021-39135, au un impact de securitate asupra npm CLI atunci când procesează o instalare de pachete npm malițioase. Unele dintre aceste probleme pot duce la executarea arbitrară a codului, chiar dacă folosiți –ignore-scripts pentru a împiedica procesarea scripturilor de execuție a pachetelor.

Dezvoltatorii sunt sfătuiți să remedieze aceste vulnerabilități cât mai curând posibil. Ar trebui să își actualizeze versiunile tar la 4.4.19, 5.0.11 sau 6.1.10 și să actualizeze @npmcli/arborist versiunea 2.8.2 pentru a remedia vulnerabilitățile. În plus, Node.js versiunea 12, 14 sau 16 vine cu o versiune tar remediată și poate fi de asemenea actualizată.

Sursa: https://www.ehackingnews.com/2021/09/github-identifies-multiple-security.html

© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică