ГлавнаяБаза уязвимостей БДУ → BDU:2022-02880
6.9высокая

BDU:2022-02880

Уязвимость модуля Node.js для обработки tar архивов Node-tar, связанная с недостатками ограничения имени пути к каталогу, позволяющая нарушителю загрузить произвольные файлы и выполнить произвольный код
Опубликовано: 2022-05-12
Описание

Уязвимость модуля Node.js для обработки tar архивов Node-tar связана с недостатками ограничения имени пути к каталогу. Эксплуатация уязвимости может позволить нарушителю загрузить произвольные файлы и выполнить произвольный код

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Red Hat Enterprise Linux (8)Debian GNU/Linux (10)OpenSUSE Leap (15.2)OpenSUSE Leap (15.3)Debian GNU/Linux (11)Red Hat Enterprise Linux (8.4 Extended Update Support)node-tar (до 4.4.16)node-tar (от 5.0.0 до 5.0.8)node-tar (от 6.0.0 до 6.1.7)GraalVM Enterprise Edition (20.3.3)GraalVM Enterprise Edition (21.2.0)ОСОН ОСнова Оnyx (до 2.7)
Способ устранения

Использование рекомендаций
Для Node-tar:
https://github.com/npm/node-tar/security/advisories/GHSA-9r2w-394v-53qc


Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2021-37701

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/hydra/rest/securitydata/cve/CVE-2021-37701.xml

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-37701

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuoct2021.html

Для ОСОН ОСнова Оnyx (версия 2.7):
Обновление программного обеспечения node-tar до версии 4.4.6+ds1-3+deb10u2

Оценка CVSS
Балл6.9 — высокая опасность
Источники и патчи
https://github.com/npm/node-tar/security/advisories/GHSA-9r2w-394v-53qchttps://www.npmjs.com/package/tarhttps://www.oracle.com/security-alerts/cpuoct2021.htmlhttps://www.debian.org/security/2021/dsa-5008https://cert-portal.siemens.com/productcert/pdf/ssa-389290.pdfhttps://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.7/
Проверьте безопасность своего сайта и почты → Полная проверка домена