Node.js arquiva sérias vulnerabilidades de manuseio de piche com atualização de software

26

Os desenvolvedores da Node.js lançaram uma atualização significativa para a tecnologia que resolve cinco vulnerabilidades de segurança problemáticas, incluindo algumas que apresentam um risco de execução remota de código.

O lote de patch .js Node oferece alívio de um total de três problemas de alta gravidade e duas falhas de segurança moderadas.

Todos envolvem vulnerabilidades nos módulos cli node-tar, arborista e npm e se relacionam com a remediação das vulnerabilidades do node-piche CVE-2021-32803 e CVE-2021-32804, resolvidas no mês passado.

O pacote NPM “tar” (também conhecido como node-tar) era suscetível a uma vulnerabilidade arbitrária de criação/sobregravação de arquivos e execuçãoarbitrária de código .

Os controles de integridade do caminho incorporados à tecnologia se desprenderam quando “extrair arquivos de piche que continham um diretório e um symlink com o mesmo nome do diretório, onde os nomes do symlink e do diretório na entrada do arquivo usavam backslashes como separador de caminhos em sistemas posix”, como explicado em um relatório do Banco nacional de vulnerabilidades dos EUA (NVD) da vulnerabilidade CVE-2021-37701.

Ele acrescentou:

A lógica de verificação de cache usou caracteres ‘\’ e ‘/’ como separadores de caminho, no entanto ‘\’ é um caractere de nome de arquivo válido em sistemas posix. Ao primeiro criar um diretório e, em seguida, substituir esse diretório por um symlink, assim foi possível contornar verificações de symlink de node-tar em diretórios, essencialmente permitindo que um arquivo de piche não confiável se symlink em um local arbitrário e, posteriormente, extraindo arquivos arbitrários para esse local, permitindo assim a criação arbitrária de arquivos e sobregrava.”

Publicações Relacionadas

Problemas semelhantes podem surgir em sistemas de arquivos insensíveis por casos.

O mesmo alerta NVD explica: “Se um arquivo de piche contivesse um diretório no ‘FOO’, seguido por um link simbólico chamado ‘foo’, em seguida, em sistemas de arquivos insensíveis, a criação do link simbólico removeria o diretório do sistema de arquivos, mas _not_ do cache do diretório interno, pois não seria tratado como um hit de cache.

“Uma entrada subsequente de arquivo dentro do diretório ‘FOO’ seria então colocada no alvo do link simbólico, pensando que o diretório já havia sido criado.”

Mantenha-o fechado

Não é incomum que sites permitam que os usuários carreguem arquivos zip (arquivo) e extraam-nos, e é por isso que a vulnerabilidade do piche é particularmente relevante para os webadmins corrigirem.

O nó-piche visa garantir que qualquer arquivo cuja localização seria modificada por um link simbólico não seja extraído. A vulnerabilidade CVE-2021-37712 viola esse controle, criando assim um risco de arquivos de piche malformados semelhantes à vulnerabilidade CVE-2021-37701.

Ambas as falhas são categorizadas como de alto risco. A terceira falha de alto risco no lote (CVE-2021-37713) cria um risco arbitrário de sob regravação de arquivos ou execução de código devido à insuficiência de higienização relativa do caminho, novamente envolvendo nódulo-piche.

As outras duas vulnerabilidades abordadas no lote de patches envolvem problemas com os módulos arborista e npm cli. Cada um é categorizado como risco moderado.