СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
31.08.2021

Уязвимость BDU:2022-02880

Уязвимость BDU:2022-02880

Идентификатор: BDU:2022-02880.

Наименование уязвимости: Уязвимость модуля Node.js для обработки tar архивов Node-tar, связанная с недостатками ограничения имени пути к каталогу, позволяющая нарушителю загрузить произвольные файлы и выполнить произвольный код.

Описание уязвимости: Уязвимость модуля Node.js для обработки tar архивов Node-tar связана с недостатками ограничения имени пути к каталогу. Эксплуатация уязвимости может позволить нарушителю загрузить произвольные файлы и выполнить произвольный код
Уязвимое ПО: Операционная система Debian GNU/Linux 9 | Операционная система Red Hat Inc. Red Hat Enterprise Linux 8 | Операционная система Debian GNU/Linux 10 | Операционная система Novell Inc. OpenSUSE Leap 15.2 | Операционная система Novell Inc. OpenSUSE Leap 15.3 | Операционная система Debian GNU/Linux 11 | Операционная система Red Hat Inc. Red Hat Enterprise Linux 8.4 Extended Update Support | Прикладное ПО информационных систем Node.js Foundation node-tar до 4.4.16 | Прикладное ПО информационных систем Node.js Foundation node-tar от 5.0.0 до 5.0.8 | Прикладное ПО информационных систем Node.js Foundation node-tar от 6.0.0 до 6.1.7 | Прикладное ПО информационных систем Oracle Corp. GraalVM Enterprise Edition 20.3.3 | Прикладное ПО информационных систем Oracle Corp. GraalVM Enterprise Edition 21.2.0 | Операционная система АО «НППКТ» ОСОН ОСнова Оnyx до 2.7 |

Наименование ОС и тип аппаратной платформы: Debian GNU/Linux 9 | Red Hat Enterprise Linux 8 | Debian GNU/Linux 10 | OpenSUSE Leap 152 | OpenSUSE Leap 153 | Debian GNU/Linux 11 | Red Hat Enterprise Linux 84 Extended Update Support | ОСОН ОСнова Оnyx до 27 |
Дата выявления: 31.08.2021.
CVSS 2.0: AV:L/AC:M/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,6)

Возможные меры по устранению:
Использование рекомендаций
Для Node-tar:
https://github.com/npm/node-tar/security/advisories/GHSA-9r2w-394v-53qc

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2021-37701

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/hydra/rest/securitydata/cve/CVE-2021-37701.xml

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-37701

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuoct2021.html

Для ОСОН ОСнова Оnyx (версия 2.7):
Обновление программного обеспечения node-tar до версии 4.4.6+ds1-3+deb10u2.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2021-37701.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://github.com/npm/node-tar/security/advisories/GHSA-9r2w-394v-53qc
https://www.npmjs.com/package/tar
https://www.oracle.com/security-alerts/cpuoct2021.html
https://www.debian.org/security/2021/dsa-5008
https://cert-portal.siemens.com/productcert/pdf/ssa-389290.pdf
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.7/

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: