GitHub identifie sept vulnérabilités d'exécution de code dans les paquets 'tar' et npm CLI de Node.js
L'équipe de sécurité de GitHub a identifié plusieurs vulnérabilités de haute gravité dans les paquets npm, "tar" et "@npmcli/arborist", utilisés par le CLI de npm. Ces vulnérabilités peuvent entraîner une exécution de code arbitraire due à l'écrasement et à la création de fichiers avec l’utilisation de tar pour extraire des fichiers tar non fiables et/ou lorsque le CLI de npm installe des paquets npm non fiables dans certaines conditions de système de fichiers.
Les statistiques ont montré que le paquet tar reçoit 20 millions de téléchargements par semaine en moyenne, tandis qu'arborist est téléchargé plus de 300 000 fois chaque semaine.
Les vulnérabilités peuvent affecter les utilisateurs Windows et Unix, et si elles ne sont pas corrigées, elles peuvent être exploitées.
Sept CVE ont été affectés au total :
CVE-2021-32804, CVE-2021-37713, CVE-2021-39134, et CVE-2021-39135 ont spécifiquement un impact de sécurité sur le CLI npm lors du traitement d'une installation de paquet npm malveillante ou non fiable. Certains de ces problèmes peuvent entraîner une exécution de code arbitraire, même avec l’utilisation de « --ignore-scripts » pour empêcher le traitement des scripts de cycle de vie des paquets.
Et à la fin, comme pour toute vulnérabilité, la meilleure chose à faire est de s'assurer d'appliquer les correctifs disponibles dès que possible. Les développeurs doivent mettre à jour leurs versions de dépendances tar vers 4.4.19, 5.0.11 ou 6.1.10, et mettre à jour @npmcli/arborist version 2.8.2 pour corriger les vulnérabilités. Pour npm CLI, les versions v6.14.15, v7.21.0 ou plus récentes contiennent le correctif. En outre, les versions 12, 14 ou 16 de Node.js sont livrées avec la version tar corrigée et peuvent être mises à niveau en toute sécurité, selon GitHub.