Nuevas Vulnerabilidades Graves En Paquetes De Node.js

GitHub ha resuelto numerosas vulnerabilidades en los paquetes tar y @ npmcli/arborist de Node.js. Las mismas permiten sobrescribir archivos y ejecutar código arbitrario. El pasado miércoles, GitHub anunció que la compañía de fallas y errores de seguridad que afectan los mencionados paquetes.

Estos reportes se efectuaron entre el 21 de julio y el 13 de agosto por Robert Chen y Philip Papurt, quienes, a través de los programas de recompensas, que otorgan a los investigadores crédito y recompensas financieras, por revelar de manera responsable las vulnerabilidades al vendedor.

El director de seguridad de GitHub, Mike Hanley, confirmó que estos informes llevaron a GitHub a realizar su propia revisión de lo reportado, lo que llevó al descubrimiento de problemas de seguridad adicionales.

El paquete tar se usa para imitar el sistema de archivo tar en Unix, mientras que @npmcli/arborist se ha desarrollado para administrar árboles node_modules. Tar es una dependencia central de npm para la extracción de paquetes npm, y @npmcli / arborist es una dependencia central de npm CLI.

Node-tar ha representado 22.390.735 descargas semanales, al momento de escribir este artículo, mientras que @npmcli/arborist se ha descargado 405.551 veces durante la semana pasada. En total, se han verificado 7 (siete) vulnerabilidades a través de los informes de recompensas de errores y el equipo de seguridad en los hallazgos de GitHub:

  •  CVE-2021-32803
  •  CVE-2021-32804
  •  CVE-2021-37701
  •  CVE-2021-37712
  •  CVE-2021-37713

Vulnerabilidades @npmcli/arborist:

  •  CVE-2021-39134
  •  CVE-2021-39135

«CVE-2021-32804CVE-2021-37713, CVE-2021-39134 y CVE-2021-39135 tienen un impacto específico en la seguridad de la CLI de npm cuando se procesa la instalación de un paquete de npm malicioso o que no es de confianza», dice GitHub. «Algunos de estos problemas pueden resultar en la ejecución de código arbitrario, incluso si está utilizando –ignore-scripts para evitar el procesamiento de los scripts del ciclo de vida del paquete».

Para que los desarrolladores estén al tanto de estos errores, GitHub creó 16,7 millones de alertas de Dependabot y lanzó 1,8 millones de notificaciones.

GitHub ha solicitado a los dueños de proyectos que usen la CLI de npm y la descarguen directamente para actualizar a v6.14.15, v7.21.0 o más reciente. Si Node.js está en uso, la organización recomienda una actualización a las últimas versiones de Node 12, 14 o 16, todas las cuales contienen parches para resolver las fallas de seguridad. Los usuarios de Tar ahora pueden actualizar a las versiones 4.4.19, 5.0.11 y 6.1.10. La última versión disponible de @ npmcli / arborist es 2.8.3.

Chen y Papurt han recibido una recompensa combinada de U$S14.500 por sus informes.

FUENTE: hacking.land

Comments are closed.