ГлавнаяБаза уязвимостей БДУ → BDU:2022-03022
7.2высокая

BDU:2022-03022 (CVE-2021-37712)

Уязвимость модуля Node.js для обработки tar архивов Node-tar, связанная с недостатками ограничения имени пути к каталогу, позволяющая нарушителю создать, перезаписать произвольные файлы и выполнить произвольный код
Опубликовано: 2022-05-18
Описание

Уязвимость модуля Node.js для обработки tar архивов Node-tar связана с недостатками ограничения имени пути к каталогу. Эксплуатация уязвимости может позволить нарушителю создать, перезаписать произвольные файлы и выполнить произвольный код с помощью специально созданного архива

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Red Hat Software CollectionsDebian GNU/Linux (11)Red Hat Enterprise Linux (8.4 Extended Update Support)Red Hat Advanced Cluster Management for Kubernetes (2)Red Hat OpenShift GitOpsGraalVM Enterprise Edition (20.3.3)GraalVM Enterprise Edition (21.2.0)node-tar (до 4.4.18)SINEC INS (до 1.0.1.1)node-tar (до 5.0.10)node-tar (до 6.1.9)Red Hat Openshift Data Foundation (4.9.0 on RHEL-8)Red Hat Openshift Container Storage (4)IBM Integration Bus (от 10.0.0.0 до 10.0.0.24 включительно)ОСОН ОСнова Оnyx (до 2.7)
Способ устранения

Использование рекомендаций:

Для Node-tar:
https://github.com/npm/node-tar/security/advisories/GHSA-qq89-hq3f-393p

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-37712

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2021-37712

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuoct2021.html

Для Siemens AG:
https://cert-portal.siemens.com/productcert/pdf/ssa-389290.pdf

Для IBM Corp.:
https://www.ibm.com/support/pages/node/6522968

Для ОСОН ОСнова Оnyx (версия 2.7):
Обновление программного обеспечения node-tar до версии 4.4.6+ds1-3+deb10u2

Оценка CVSS
Балл7.2 — высокая опасность
Источники и патчи
https://github.com/npm/node-tar/security/advisories/GHSA-qq89-hq3f-393phttps://security-tracker.debian.org/tracker/CVE-2021-37712https://access.redhat.com/security/cve/cve-2021-37712https://www.oracle.com/security-alerts/cpuoct2021.htmlhttps://cert-portal.siemens.com/productcert/pdf/ssa-389290.pdfhttps://www.ibm.com/support/pages/node/6522968https://www.npmjs.com/package/tarhttps://www.cybersecurity-help.cz/vdb/SB2021111707
Проверьте безопасность своего сайта и почты → Полная проверка домена