Уязвимость BDU:2022-03022

Идентификатор: BDU:2022-03022.

Наименование уязвимости: Уязвимость модуля Node.js для обработки tar архивов Node-tar, связанная с недостатками ограничения имени пути к каталогу, позволяющая нарушителю создать, перезаписать произвольные файлы и выполнить произвольный код.

Описание уязвимости: Уязвимость модуля Node.js для обработки tar архивов Node-tar связана с недостатками ограничения имени пути к каталогу. Эксплуатация уязвимости может позволить нарушителю создать, перезаписать произвольные файлы и выполнить произвольный код с помощью специально созданного архива
Уязвимое ПО: Операционная система Debian GNU/Linux 9 | Операционная система Red Hat Inc. Red Hat Enterprise Linux 8 | Операционная система Debian GNU/Linux 10 | Прикладное ПО информационных систем Red Hat Inc. Red Hat Software Collections — | Операционная система Debian GNU/Linux 11 | Операционная система Red Hat Inc. Red Hat Enterprise Linux 8.4 Extended Update Support | Сетевое средство, Сетевое программное средство Red Hat Inc. Red Hat Advanced Cluster Management for Kubernetes 2 | Прикладное ПО информационных систем Red Hat Inc. Red Hat OpenShift GitOps — | Прикладное ПО информационных систем Oracle Corp. GraalVM Enterprise Edition 20.3.3 | Прикладное ПО информационных систем Oracle Corp. GraalVM Enterprise Edition 21.2.0 | Прикладное ПО информационных систем Node.js Foundation node-tar до 4.4.18 | Сетевое средство, Сетевое программное средство Siemens AG SINEC INS до 1.0.1.1 | Прикладное ПО информационных систем Node.js Foundation node-tar до 5.0.10 | Прикладное ПО информационных систем Node.js Foundation node-tar до 6.1.9 | Прикладное ПО информационных систем Red Hat Inc. Red Hat Openshift Data Foundation 4.9.0 on RHEL-8 | Прикладное ПО информационных систем Red Hat Inc. Red Hat Openshift Container Storage 4 | Прикладное ПО информационных систем IBM Corp. IBM Integration Bus от 10.0.0.0 до 10.0.0.24 включительно | Операционная система АО «НППКТ» ОСОН ОСнова Оnyx до 2.7 |

Наименование ОС и тип аппаратной платформы: Debian GNU/Linux 9 | Windows — | Red Hat Enterprise Linux 8 | Debian GNU/Linux 10 | Debian GNU/Linux 11 | Red Hat Enterprise Linux 84 Extended Update Support | ОСОН ОСнова Оnyx до 27 |
Дата выявления: 31.08.2021.
CVSS 2.0: AV:L/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,6)

Возможные меры по устранению:
Использование рекомендаций:

Для Node-tar:
https://github.com/npm/node-tar/security/advisories/GHSA-qq89-hq3f-393p

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-37712

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2021-37712

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuoct2021.html

Для Siemens AG:
https://cert-portal.siemens.com/productcert/pdf/ssa-389290.pdf

Для IBM Corp.:
https://www.ibm.com/support/pages/node/6522968

Для ОСОН ОСнова Оnyx (версия 2.7):
Обновление программного обеспечения node-tar до версии 4.4.6+ds1-3+deb10u2.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2021-37712. SB2021111707.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://github.com/npm/node-tar/security/advisories/GHSA-qq89-hq3f-393p
https://security-tracker.debian.org/tracker/CVE-2021-37712
https://access.redhat.com/security/cve/cve-2021-37712
https://www.oracle.com/security-alerts/cpuoct2021.html
https://cert-portal.siemens.com/productcert/pdf/ssa-389290.pdf
https://www.ibm.com/support/pages/node/6522968
https://www.npmjs.com/package/tar
https://www.cybersecurity-help.cz/vdb/SB2021111707
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.7/