AccueilActualités informatiqueGitHub découvre sept vulnérabilités dans des paquets Node.js

GitHub découvre sept vulnérabilités dans des paquets Node.js

La société de gestion de versions GitHub a reçu des notifications de failles de sécurité dans les paquets Node.js dans le cadre de l’un de ses programmes de primes aux bugs, entre le 21 juillet et le 13 août 2021. tar et @npmcli/arborist. Selon GitHub, les développeurs téléchargent tar des millions de fois par semaine, d’autant plus qu’il sert de dépendance centrale à des milliers d’autres projets. @npmcli/arborist est une dépendance essentielle de l’interface CLI de npm et entre en jeu dans l’administration de l’application node_modules-… arbres.

Sommaire

Le CLI de npm est censé garantir que, lorsqu’un paquet est installé, son contenu est uniquement stocké dans le dossier approprié au sein de l’arborescence de l’application node_modules-la hiérarchie des répertoires. Toutefois, certaines des vulnérabilités découvertes sont capables de franchir cette limite : Lorsque vous utilisez tar pour extraire les données non fiables tar-et lors de l’utilisation du CLI de npm pour installer des paquets npm non fiables, ils peuvent conduire à l’écrasement inattendu de fichiers et à l’exécution de code arbitraire.

Après une enquête approfondie, GitHub a identifié un total de sept vulnérabilités et expositions communes (CVE) liées aux éléments suivants tar et @npmcli/arborist annoncé :

  • CVE-2021-32803
  • CVE-2021-32804
  • CVE-2021-37701
  • CVE-2021-37712
  • CVE-2021-37713
  • CVE-2021-39134
  • CVE-2021-39135

GitHub, qui a acquis le gestionnaire de paquets JavaScript npm il y a un an et qui a fait partie de Microsoft lui-même en 2018, a déployé des correctifs pour les vulnérabilités et a envoyé 16,7 millions d’alertes Dependabot et 1,8 million de notifications aux utilisateurs concernés.

Le blog de GitHub contient également des instructions d’action spécifiques en fonction de la situation affectée ; par exemple, quatre des CVEs font référence au CLI de npm. La mise à niveau du CLI de npm vers la version 6.14.15, 7.21.0 ou une version supérieure devrait remédier à ce problème. Ceux qui utilisent Node.js pour l’installation de npm devraient installer la dernière version de Node.js 12, 14 ou 16, et ceux qui utilisent un tar-Dépendance doit tar mettre à jour vers la version 4.4.19, 5.0.11, 6.1.10 ou supérieure. En raison de l’obsolescence de la branche 3 de l’initiative tar la version 6 doit être utilisée.

L’équipe npm également a réagi par un tweetdemandant aux utilisateurs de npm de mettre à jour Node.js à la version 12, 14 ou 16 ou npm à la version 6 ou 7, ainsi que toutes les dépendances de tar.

De plus amples informations et détails sur toutes les CVE sont disponibles sur le blog de GitHub.


(peut)

Plus d'articles