GitHub 在 “tar” 和 npm CLI 中发现7个高危的代码执行漏洞

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

Tar 数据包平均每周的下载量为2000万次，而 arborist 的下载次数超过30万次。这些漏洞同时影响 Windows 和Unix 用户。如不修复，可被攻击者用于在安装了不受信任的 npm 包的系统上执行任意代码。

在今年七八月间，安全研究员兼漏洞猎人 Robert Chen 和 Philip Papurt 在开源的 Node.js 包 tar 和 @npmcli/arborist 中发现了多个任意代码执行漏洞。发现后，他们通过 GitHub 的其中一个漏洞奖励计划私下告知 npm。在进一步审计这些报告后，GitHub 安全团队在之前提到的软件包中找到了更多的高危漏洞，它们同时影响 Windows 和 Unix 系统。

Node.js 软件包 tar 仍然是需要在安装后解压 npm 软件包的安装工具的核心依赖关系。该软件包也用于数千个其它开源项目中，因此每周的下载量约2000万次。Arborist 软件包也是由 npm CLI 所依赖的核心依赖关系，用于管理 node_modules 树。

这些 ZIP slip 漏洞为使用 npm CLI 或使用 “tar” 提取不可信软件包安装不受信任 npm 包的开发人员带来了问题。在默认情况下，npm 软件包交付为 .tar.gz 或.tgz 文件，它们均为 ZIP 文档，因此需要由安装工具提取。在理想情况下，提取这些文档的工具应当确保文档内的任意恶意路径不会覆写现有文件，尤其是覆写文件系统上的敏感文件。但由于存在如下漏洞，npm包在被提取时可以运行 npm install 命令的用户权限覆写文件：

GitHub 的首席安全官 Mike Hanley 指出，“CVE-2021-32804、CVE-2021-37713、CVE-2021-39134和CVE-2021-39135 在处理恶意或不可信的 npm 包安装都会对 npm CLI 产生安全影响。其中一些问题可能导致任意代码执行后果，即使用ignore-scripts 阻止对程序包生命周期脚本的处理也不例外。”

GitHub 安全团队为两名研究员共颁发了1.45万美元的奖励金。

GitHub 旗下的npm 也在督促开发人员尽快修复这些漏洞。

开发人员应当将 tar 依赖关系版本升级至4.4.19.5、5.0.11或6.1.10版本并升级 @npmcli/arborist 版本2.8.2，修复这些漏洞。Npm CLI 版本6.14.15、7.21.0或更新版本包含该修复方案。此外，也可安全升级至tar 版本的Node.js 版本12、14或16。

完整漏洞详情可见：https://github.blog/2021-09-08-github-security-update-vulnerabilities-tar-npmcli-arborist/