BDU:2022-00201
АО "НППКТ", Сообщество свободного программного обеспечения, Node.js Foundation, ООО «РусБИТех-Астра» ОСОН ОСнова Оnyx, Astra Linux Special Edition, node-tar, Debian GNU/Linux
Дата обнаружения
2021-07-24
Официальное описание
Уязвимость метода модуля Node.js для обработки tar архивов Node-tar связана с некорректной фильтрацией последовательности символов '/'. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, нарушить целостность данных, а также вызвать отказ в обслуживании
🛡️
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Для Node-tar: использование рекомендаций производителя: https://github.com/npm/node-tar/security/advisories/GHSA-3jfq-g458-7qm9
Для ОС Debian: использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-32804
Для Astra Linux: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
Для ОСОН Основа: Обновление программного обеспечения node-tar до версии 4.4.6+ds1-3+deb10u1