Пакет npm "tar" (он же node-tar) до версий 4.4.16, 5.0.8 и 6.1.7 имеет уязвимость, связанную с произвольным созданием/перезаписью файлов и …
Пакет npm "tar" (он же node-tar) до версий 4.4.16, 5.0.8 и 6.1.7 имеет уязвимость, связанную с произвольным созданием/перезаписью файлов и произвольным выполнением кода. node-tar стремится гарантировать, что ни один файл, местоположение которого будет изменено символической ссылкой, не будет извлечен. Это, в частности, достигается путем обеспечения того, чтобы извлеченные каталоги не были символическими ссылками. Кроме того, чтобы предотвратить ненужные вызовы stat для определения того, является ли данный путь каталогом, пути кэшируются при создании каталогов. Эта логика была недостаточной при извлечении tar-файлов, которые содержали как каталог, так и символическую ссылку с тем же именем, что и каталог, где имена символических ссылок и каталогов в записи архива использовали обратные косые черты в качестве разделителя путей в системах posix. Логика проверки кэша использовала как символы `\`, так и `/` в качестве разделителей путей, однако `\` является допустимым символом имени файла в системах posix. Сначала создав каталог, а затем заменив этот каталог символической ссылкой, можно было обойти проверки символических ссылок node-tar в каталогах, что, по сути, позволяло ненадежному tar-файлу создавать символическую ссылку в произвольное местоположение и впоследствии извлекать произвольные файлы в это местоположение, тем самым позволяя произвольное создание и перезапись файлов. Кроме того, аналогичная путаница могла возникнуть в файловых системах, нечувствительных к регистру. Если tar-архив содержал каталог в `FOO`, за которым следовала символическая ссылка с именем `foo`, то в файловых системах, нечувствительных к регистру, создание символической ссылки удалило бы каталог из файловой системы, но _не_ из внутреннего кэша каталогов, поскольку он не рассматривался бы как попадание в кэш. Последующая запись файла в каталоге `FOO` будет помещена в цель символической ссылки, полагая, что каталог уже был создан. Эти проблемы были решены в выпусках 4.4.16, 5.0.8 и 6.1.7. Ветвь v3 node-tar устарела и не получила исправлений для этих проблем. Если вы все еще используете выпуск v3, мы рекомендуем вам обновиться до более новой версии node-tar. Если это невозможно, обходной путь доступен в указанном GHSA-9r2w-394v-53qc.
Продукт использует внешние входные данные для формирования пути, предназначенного для идентификации файла или каталога внутри ограниченного родительского каталога, однако не нейтрализует должным образом специальные элементы в пути, которые могут вызвать его разрешение за пределами ограниченного каталога.
https://cwe.mitre.org/data/definitions/22.html →Открыть в коллекции CWE →Продукт пытается получить доступ к файлу по имени, однако не предотвращает надлежащим образом интерпретацию этого имени как ссылки или ярлыка, ведущего к непредусмотренному ресурсу.
https://cwe.mitre.org/data/definitions/59.html →Открыть в коллекции CWE →Атака данного типа эксплуатирует конфигурацию системы, которая позволяет злоумышленнику либо напрямую обращаться к исполняемому файлу, например через доступ к командному интерпретатору, либо, в наиболее тяжёлых случаях, загружать файл и затем выполнять его. Особенно уязвимы веб-серверы, FTP-серверы и промежуточное программное обеспечение, ориентированное на обмен сообщениями и имеющее множество точек интеграции, поскольку и программисты, и администраторы должны согласованно понимать интерфейсы и правильные привилегии для каждого интерфейса.
https://capec.mitre.org/data/definitions/17.html →Открыть в коллекции CAPEC →Данная атака эксплуатирует доверие системы к файлам конфигурации и ресурсов. Когда исполняемый файл загружает ресурс (например, файл изображения или файл конфигурации), злоумышленник модифицирует файл таким образом, чтобы либо непосредственно выполнить вредоносный код, либо манипулировать целевым процессом (например, сервером приложений), заставляя его выполнять действия на основе вредоносных параметров конфигурации. По мере того как системы всё активнее интегрируют ресурсы из локальных и удалённых источников, вероятность осуществления данной атаки возрастает.
https://capec.mitre.org/data/definitions/35.html →Открыть в коллекции CAPEC →Данная атака использует кодирование URL в сочетании с кодированием символов слеша. Злоумышленник может воспользоваться множеством способов кодирования URL и злоупотребить его интерпретацией. URL может содержать специальные символы, требующие особой синтаксической обработки для правильной интерпретации. Специальные символы представляются с помощью символа процента, за которым следуют две цифры, обозначающие код октета исходного символа (%HEX-КОД). Например, пробел в US-ASCII представляется как %20. Это часто называют экранированием или процентным кодированием. Поскольку сервер декодирует URL из запросов, он может ограничивать доступ к некоторым путям URL, проверяя и отфильтровывая полученные URL-запросы. Злоумышленник попытается сформировать URL с последовательностью специальных символов, которая после интерпретации сервером окажется эквивалентна запрещённому URL. Защититься от данной атаки непросто, поскольку URL может содержать другие форматы кодирования, такие как UTF-8, Unicode и т. д.
https://capec.mitre.org/data/definitions/64.html →Открыть в коллекции CAPEC →Злоумышленник манипулирует входными данными, которые целевое программное обеспечение передаёт в вызовы файловой системы операционной системы. Цель — получить доступ и, возможно, модифицировать области файловой системы, к которым целевое программное обеспечение не должно было предоставлять доступ.
https://capec.mitre.org/data/definitions/76.html →Открыть в коллекции CAPEC →Данная атака использует обратный слеш в альтернативных кодировках. Злоумышленник может использовать обратный слеш в качестве первого символа, вынуждая парсер считать следующий символ специальным. Это называется экранированием. Используя данный приём, злоумышленник пытается эксплуатировать альтернативные способы кодирования одного и того же символа, что создаёт проблемы для фильтров и открывает пути для атак.
https://capec.mitre.org/data/definitions/78.html →Открыть в коллекции CAPEC →Данная атака направлена на кодирование символов слеша. Злоумышленник пытается эксплуатировать распространённые проблемы фильтрации, связанные с использованием символов слеша, для получения доступа к ресурсам на целевом хосте. Системы на основе каталогов, такие как файловые системы и базы данных, как правило, используют символ слеша для обозначения перехода между каталогами или другими контейнерными компонентами. По неоднозначным историческим причинам ПК (и, как следствие, ОС Microsoft) используют обратный слеш, тогда как мир UNIX традиционно применяет прямой слеш. Шизофренический результат таков, что многие MS-системы обязаны понимать обе формы слеша. Это предоставляет злоумышленнику множество возможностей для обнаружения и использования распространённых проблем фильтрации. Цель данного шаблона — обнаружить серверное программное обеспечение, применяющее фильтры только к одному варианту, но не другому.
https://capec.mitre.org/data/definitions/79.html →Открыть в коллекции CAPEC →Злоумышленник использует методы манипуляции путями для эксплуатации недостаточной проверки входных данных цели и получения доступа к данным, которые должны быть недоступны. Такой подход хорошо работает, когда цель предоставляет пользователю имена файлов (например, для пользовательских файлов, содержимого веб-сайтов и т. п.) и использует эти имена для формирования путей в файловой системе. Вставляя в эти имена специальные последовательности, можно обойти проверки и получить доступ к файлам вне корня приложения. Наиболее типичная последовательность — использование относительных переходов «..». Например, если приложение хранит файлы пользователей в каталоге /usr/local/myapp/files/user/, а противник запросит файл с именем «../../../../etc/passwd», то итоговый путь может быть интерпретирован как /etc/passwd — системный файл, к которому противник не должен иметь доступа. Некоторые реализации фильтрации последовательностей «..» можно обойти с помощью альтернативных кодировок, URL-кодирования или использования различных разделителей каталогов. Цель атаки — получить несанкционированный доступ к конфиденциальным данным. В некоторых случаях может быть получена также возможность записи за пределы разрешённых каталогов.
https://capec.mitre.org/data/definitions/126.html →Открыть в коллекции CAPEC →Злоумышленник располагает символическую ссылку таким образом, чтобы целевой пользователь или приложение перешло по конечному адресу ссылки, полагая, что обращается к файлу с именем самой ссылки.
https://capec.mitre.org/data/definitions/132.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| node-tar | Отслеживается | |
| node-tar | Отслеживается | |
| node-tar | Отслеживается | |
| node-tar | Отслеживается | |
| node-tar | Отслеживается | |
| node-tar | Отслеживается | |
| node-tar | Отслеживается | |
| node-tar | Отслеживается | |
| node-tar | Отслеживается | |
| node-tar | Отслеживается | |
| node-tar | Отслеживается | |
| node-tar | Отслеживается | |
| node-tar | Отслеживается | |
| node-tar | Отслеживается | |
| node-tar | Отслеживается | |
| node-tar | Отслеживается | |
| nodejs | Отслеживается | |
| nodejs | Отслеживается | |
| nodejs | Отслеживается | |
| nodejs | Отслеживается |