Vulnerability BDU:2022-02880: Information
Description
Уязвимость модуля Node.js для обработки tar архивов Node-tar, связанная с недостатками ограничения имени пути к каталогу, позволяющая нарушителю загрузить произвольные файлы и выполнить произвольный код
Severity: HIGH (8.6) Vector: AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Fixed packages
Package name | Branch | Fixed in version | Version from repository | Errata ID | Task # | State |
---|---|---|---|---|---|---|
node | sisyphus | 14.18.0-alt1 | 20.13.1-alt1 | ALT-PU-2021-2920-1 | 286074 | Fixed |
node | p10 | 14.18.2-alt1 | 16.19.1-alt1 | ALT-PU-2021-3615-1 | 292248 | Fixed |
node | c10f1 | 14.18.2-alt1 | 16.19.1-alt1 | ALT-PU-2021-3615-1 | 292248 | Fixed |
node | c9f2 | 16.17.1-alt0.c9.1 | 16.19.1-alt0.c9.1 | ALT-PU-2022-3073-1 | 303505 | Fixed |
node | p11 | 14.18.0-alt1 | 20.13.1-alt1 | ALT-PU-2021-2920-1 | 286074 | Fixed |
npm | p10 | 6.14.16-alt1 | 8.19.3-alt1 | ALT-PU-2022-1798-1 | 298947 | Fixed |
npm | c10f1 | 6.14.16-alt1 | 8.19.3-alt1 | ALT-PU-2022-1798-1 | 298947 | Fixed |
npm | c9f2 | 8.15.0-alt0.c9.1 | 8.19.3-alt1 | ALT-PU-2022-3069-1 | 303505 | Fixed |
References to Advisories, Solutions, and Tools
Vulnerability Status | Подтверждена производителем |
Presence of an exploit | Данные уточняются |
Fix status | Уязвимость устранена |
Software Type | Операционная система, Прикладное ПО информационных систем |
Solution | Использование рекомендаций Для Node-tar: https://github.com/npm/node-tar/security/advisories/GHSA-9r2w-394v-53qc Для программных продуктов Novell Inc.: https://www.suse.com/security/cve/CVE-2021-37701 Для программных продуктов Red Hat Inc.: https://access.redhat.com/hydra/rest/securitydata/cve/CVE-2021-37701.xml Для Debian GNU/Linux: https://security-tracker.debian.org/tracker/CVE-2021-37701 Для программных продуктов Oracle Corp.: https://www.oracle.com/security-alerts/cpuoct2021.html Для ОСОН ОСнова Оnyx (версия 2.7): Обновление программного обеспечения node-tar до версии 4.4.6+ds1-3+deb10u2 |
Sources | https://github.com/npm/node-tar/security/advisories/GHSA-9r2w-394v-53qc https://www.npmjs.com/package/tar https://www.oracle.com/security-alerts/cpuoct2021.html https://www.debian.org/security/2021/dsa-5008 https://cert-portal.siemens.com/productcert/pdf/ssa-389290.pdf https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.7/ |
Other system identifiers |