Vulnerabilidad en el paquete npm "tar" (CVE-2021-37701)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
31/08/2021
Última modificación:
19/01/2023
Descripción
El paquete npm "tar" (también se conoce como node-tar) versiones anteriores a 4.4.16, 5.0.8 y 6.1.7, presenta una vulnerabilidad de creación y escritura excesiva de archivos arbitrarios y de ejecución de código arbitrario. node-tar pretende garantizar que no se extraiga ningún archivo cuya ubicación sería modificada por un enlace simbólico. Esto es conseguido, en parte, asegurando que los directorios extraídos no sean enlaces simbólicos. Además, para evitar llamadas innecesarias a las estadísticas para determinar si una ruta dada es un directorio, las rutas son almacenadas en caché cuando los directorios son creados. Esta lógica era insuficiente cuando se extraían archivos tar que contenían tanto un directorio como un enlace simbólico con el mismo nombre que el directorio, donde los nombres de los enlaces simbólicos y de los directorios en la entrada del archivo usaban barras invertidas como separador de rutas en los sistemas posix. La lógica de comprobación de la caché usaba tanto los caracteres "\" como "/" como separadores de ruta, sin embargo "\" es un carácter de nombre de archivo válido en los sistemas posix. Al crear primero un directorio, y luego sustituyendo ese directorio por un enlace simbólico, era posible omitir las comprobaciones de enlaces simbólicos de node-tar en los directorios, permitiendo esencialmente que un archivo tar no confiable hiciera un enlace simbólico en una ubicación arbitraria y que posteriormente extrajera archivos arbitrarios en esa ubicación, permitiendo así la creación y escritura excesiva arbitraria de archivos. Además, una confusión similar podría surgir en los sistemas de archivos que no distinguen entre mayúsculas y minúsculas. Si un archivo tar contiene un directorio en "FOO", seguido de un enlace simbólico llamado "foo", entonces en los sistemas de archivos no sensibles a las mayúsculas y minúsculas, la creación del enlace simbólico eliminaría el directorio del sistema de archivos, pero no de la caché interna de directorios, ya que no se trataría como un golpe de caché. Una entrada de archivo posterior dentro del directorio "FOO" se colocaría entonces en el objetivo del enlace simbólico, pensando que el directorio ya había sido creado. Estos problemas se han solucionado en las versiones 4.4.16, 5.0.8 y 6.1.7. La rama v3 de node-tar ha quedado obsoleta y no ha recibido parches para estos problemas. Si todavía está usando una versión v3, le recomendamos que actualice a una versión más reciente de node-tar. Si esto no es posible, hay una solución disponible en la referencia GHSA-9r2w-394v-53qc
Impacto
Puntuación base 3.x
8.60
Gravedad 3.x
ALTA
Puntuación base 2.0
4.40
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:npmjs:tar:*:*:*:*:*:node.js:*:* | 4.4.16 (excluyendo) | |
| cpe:2.3:a:npmjs:tar:*:*:*:*:*:node.js:*:* | 5.0.0 (incluyendo) | 5.0.8 (excluyendo) |
| cpe:2.3:a:npmjs:tar:*:*:*:*:*:node.js:*:* | 6.0.0 (incluyendo) | 6.1.7 (excluyendo) |
| cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:11.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:graalvm:20.3.3:*:*:*:enterprise:*:*:* | ||
| cpe:2.3:a:oracle:graalvm:21.2.0:*:*:*:enterprise:*:*:* | ||
| cpe:2.3:a:siemens:sinec_infrastructure_network_services:*:*:*:*:*:*:*:* | 1.0.1.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://cert-portal.siemens.com/productcert/pdf/ssa-389290.pdf
- https://github.com/npm/node-tar/security/advisories/GHSA-9r2w-394v-53qc
- https://lists.debian.org/debian-lts-announce/2022/12/msg00023.html
- https://www.debian.org/security/2021/dsa-5008
- https://www.npmjs.com/package/tar
- https://www.oracle.com/security-alerts/cpuoct2021.html