0

GitHub - Correção de 7 falhas encontradas em pacotes Node.js

Fernanda Rodrigues
Fernanda Rodrigues

Recentemente o GitHud, lançou novas atualizações com objetivo de corrigir erros graves encontrados dentro de pacotes de programação Node.js tar e @npmcli/arborist disponíveis na plataforma.


O Node.js tar é usada por desenvolvedores para a simular o sistema de arquivo .tar no Unix, e tem em média mais de 22 mil downloads semanais, enquanto o @npmcli/arborist atinge cerca de 405 mil transferências no mesmo período, mostrando como as falhas podem atingir muitos usuários.


O GitHub lançou atualizações com objetivo de corrigir erros encontrados em Node.js tar e @npmcli/arborist disponíveis em sua plataforma. As falhas foram descobertas a partir de relatórios enviados pelo programa de recompensa de bugs do site. 


As sete falhas são as seguintes:


CVE-2021-32803 (tar): Permite que arquivos tar maliciosos possam criar ou sobrescrever arquivos arbitrários com os privilégios do processo usando tar. Considerada uma vulnerabilidade de alto-impacto. 

CVE-2021-32804 (tar): Permite que pacotes npm maliciosos possam criar/sobrescrever arquivos com os privilégios do usuário que está executando a instalação, levando à execução do código. Considerada uma vulnerabilidade de alto-impacto. 

CVE-2021-37701 (tar): um problema de separador de caminho em nomes de arquivo pode permitir que arquivos tar maliciosos possam sobrescrever arquivos de forma arbitrária, com o mesmo nível de privilégio que executa o tar. Considerada uma vulnerabilidade de alto-impacto. 

CVE-2021-37712 (tar): conversões Unicode e semântica de nome de arquivo do Windows 8.3 podem causar erros no cache de diretório e desvios de verificação dos links, levando à criação e substituição arbitrárias de arquivos. Considerada uma vulnerabilidade de alto-impacto. 

CVE-2021-37713 (tar): Criação/substituição arbitrária de arquivos no Windows por meio de erros na interpretação dos caminhos dos arquivos. Pacotes npm maliciosos podem criar e sobrescrever arquivos fora de sua raiz de instalação, com privilégios de usuário. Considerada uma vulnerabilidade de alto-impacto. 

CVE-2021-39134 (@npmcli/arborist:): Um problema em como os links simbólicos na árvore node_modules são tratados. A exploração pode resultar em pacotes maliciosos sobrescrevendo arquivos fora de uma raiz de instalação com privilégios de usuário. Considerada uma vulnerabilidade de impacto médio. 

CVE-2021-39135 (@npmcli/arborist:) : Esta vulnerabilidade também afeta o tratamento de links simbólicos, especificamente quando pacotes não confiáveis são instalados em sistemas de arquivos que não diferenciam maiúsculas de minúsculas. Considerada uma vulnerabilidade de impacto médio. 



Fonte: canaltech.com.br
0
0

Comentários (0)

Profissional em busca de novos desafios

Brasil