成人国产在线小视频_日韩寡妇人妻调教在线播放_色成人www永久在线观看_2018国产精品久久_亚洲欧美高清在线30p_亚洲少妇综合一区_黄色在线播放国产_亚洲另类技巧小说校园_国产主播xx日韩_a级毛片在线免费

資訊專欄INFORMATION COLUMN

GitHub發(fā)現(xiàn)“tar”和 npm CLI 7個代碼執(zhí)行漏洞 影響Windows及unix用戶

PingCAP / 3074人閱讀

摘要:今年月至月間,安全研究人員和漏洞賞金獵人和在開源包和中發(fā)現(xiàn)了任意代碼執(zhí)行漏洞。在進一步審查研究人員的報告后,安全團隊在上述軟件包中發(fā)現(xiàn)了一些更嚴重的漏洞,影響基于和的系統(tǒng)。據(jù)稱,目前的代碼庫至少存在一個安全漏洞。

GitHub安全團隊在npm CLI使用的npm包“tar”和“@npmcli/arborist”中發(fā)現(xiàn)了幾個高危漏洞。

tar包每周平均有2000萬次的下載量,而arborist每周的下載量超過30萬次。

這些漏洞既影響Windows用戶,也影響基于unix的用戶,如果不打補丁,攻擊者就可以利用這些漏洞在安裝不受信任的npm包的系統(tǒng)上任意執(zhí)行代碼。

今年7月至8月間,安全研究人員和漏洞賞金獵人Robert Chen和Philip Papurt在開源Node.js包、tar和@npmcli/arborist中發(fā)現(xiàn)了任意代碼執(zhí)行漏洞。

發(fā)現(xiàn)這些漏洞后,研究人員通過GitHub的漏洞賞金程序私下通知了npm。

在進一步審查研究人員的報告后,GitHub安全團隊在上述軟件包中發(fā)現(xiàn)了一些更嚴重的漏洞,影響基于Windows和unix的系統(tǒng)。

Node.js 包tar仍然是需要在安裝后解壓npm包的安裝程序的核心依賴項。該軟件包還被數(shù)千個其他開源項目使用,因此每周大約有2000萬次下載量。arborist包是npm CLI所依賴的核心依賴項,用于管理node_modules樹。

對于使用npm CLI安裝不受信任的npm包或使用“tar”提取不受信任的包的開發(fā)人員來說,這些ZIP滑位漏洞帶來了一個問題。

默認情況下,npm包以.tar.gz或.tgz文件的形式發(fā)布,它們是類似于zip的歸檔文件,因此需要通過安裝工具解壓。

理想情況下,提取這些歸檔文件的工具應該確保歸檔中的任何惡意路徑不會覆蓋文件系統(tǒng)上的現(xiàn)有文件,特別是敏感文件。

但是,由于下面列出的漏洞,當提取npm包時,可以使用運行npm install命令的用戶的權限覆蓋任意文件:

CVE-2021-32803

CVE-2021-32804

CVE-2021-37701

CVE-2021-37712

CVE-2021-37713

CVE-2021-39134

CVE-2021-39135

GitHub首席安全官Mike Hanley解釋說:“CVE-2021-32804、CVE-2021-37713、CVE-2021-39134和CVE-2021-39135在處理惡意或不受信任的npm包安裝時,會對npm CLI產(chǎn)生安全影響?!?/p>

其中一些問題可能導致任意的代碼執(zhí)行,即使您正在使用—ignore-scripts來阻止包生命周期腳本的處理。

npm敦促用戶修復漏洞

9月8日,GitHub旗下的npm也在推特上敦促開發(fā)者盡快修復這些漏洞:

建議操作:根據(jù)最新發(fā)現(xiàn)的" tar "和" @npmcli/arborist "漏洞,我們建議升級到最新版本的@nodejs 12 / 14 / 16或NPM 6 / 7,并更新您可能對" tar "的任何依賴。

開發(fā)人員應該盡快將tar依賴版本升級到4.4.19、5.0.11或6.1.10,并升級@npmcli/arborist版本2.8.2以修補漏洞。

對于npm CLI, 版本 v6.14.15、v7.21.0或更新版本包含修補程序。此外,根據(jù)GitHub的說法,Node.js版本12、14或16都帶有固定的tar版本,可以安全地升級到這個版本。

開源代碼已經(jīng)成為企業(yè)開發(fā)不可或缺的一部分,但其中軟件包及代碼的安全性卻無法確定。據(jù)Synopsis稱,目前84%的代碼庫至少存在一個安全漏洞。由于開源軟件依賴于第三方代碼鏈,安全團隊通常很難獲得依賴性供應鏈的全部可見性,而在那些不易察覺的地方的任何漏洞都可能導致整個網(wǎng)絡受到破壞。

任何企業(yè)都不想遭到網(wǎng)絡攻擊,但將不安全的代碼引入軟件會大大增加遭到網(wǎng)絡攻擊風險。建議企業(yè)在軟件開發(fā)過程中或進行DevsecOps建設時,進行靜態(tài)代碼安全檢測及開源代碼安全測試,以確保自研代碼及開源代碼安全,同時提高軟件安全性降低遭到網(wǎng)絡攻擊的風險。

參讀鏈接:

www.bleepingcomputer.com/news/securi…

文章版權歸作者所有,未經(jīng)允許請勿轉載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。

轉載請注明本文地址:http://systransis.cn/yun/119909.html

相關文章

  • 每周下載數(shù)百萬次!惡意軟件包感染LinuxWindows設備引發(fā)供應鏈攻擊

    摘要:據(jù)開發(fā)者稱,他的帳戶被劫持并用于部署該庫的三個惡意版本。報告指出,惡意軟件包被稱為編目為以及和編目為。研究人員無法完全確定惡意行為者計劃如何針對開發(fā)人員。月份網(wǎng)絡攻擊者對進行了加密挖掘攻擊月份發(fā)現(xiàn)了加密挖掘惡意軟件。 UA-Parser-JS 項目被劫持安裝惡意軟件 10月22日,攻擊者發(fā)布了惡意版本的UA-Parser-JS NPM庫,以在Linux和Windows設備上安裝加...

    姘擱『 評論0 收藏0

  • Kubernetes新近kubectlCNI漏洞修復,Rancher 2.2.1發(fā)布

    摘要:今天,發(fā)布了一系列補丁版本,修復新近發(fā)現(xiàn)的兩個安全漏洞命令安全漏洞和端口映射插件漏洞。因為端口映射插件是嵌入到版本中的,只有升級至新版本的才能解決此問題?,F(xiàn)在修復之后,將端口映射插件的規(guī)則由最優(yōu)先變?yōu)楦郊樱瑒t可以讓流量優(yōu)先由規(guī)則處理。 今天,Kubernetes發(fā)布了一系列補丁版本,修復新近發(fā)現(xiàn)的兩個安全漏洞CVE-2019-1002101(kubectl cp命令安全漏洞)和CVE-...

    dkzwm 評論0 收藏0

  • 新近爆出的runC容器逃逸漏洞,用戶如何面對?

    摘要:漏洞披露后,在第一時間發(fā)布了,用戶可升級到此版本以修復該漏洞。年年底被爆出的首個嚴重安全漏洞,就是由聯(lián)合創(chuàng)始人及首席架構師發(fā)現(xiàn)的。年月被爆出儀表盤和外部代理安全漏洞時,也是第一時間向用戶響應,確保所有和的用戶都完全不被漏洞影響。 runC是一個根據(jù)OCI(Open Container Initiative)標準創(chuàng)建并運行容器的CLI工具,目前Docker引擎內部也是基于runc構建的。...

    trigkit4 評論0 收藏0

  • 每周數(shù)百萬下載量!NPM包修復了一遠程代碼執(zhí)行漏洞

    摘要:一個非常流行的包,被稱為的編程語言已得到修復,以解決一個可能影響很多應用程序的遠程代碼執(zhí)行缺陷。這同樣適用于復雜的漏洞,例如任意代碼執(zhí)行缺陷,與典型問題相比,修復這些漏洞可能需要兩倍的時間。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:...

    lifefriend_007 評論0 收藏0

發(fā)表評論

0條評論

最新活動
閱讀需要支付1元查看
<