BDU:2022-00226
АО "НППКТ", Сообщество свободного программного обеспечения, Node.js Foundation, ООО «РусБИТех-Астра» ОСОН ОСнова Оnyx, Astra Linux Special Edition, node-tar, Debian GNU/Linux
Дата обнаружения
2021-07-27
Официальное описание
Уязвимость модуля Node.js для обработки tar архивов Node-tar связана с возможностью обхода проверки символической ссылки для директории. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, нарушить целостность данных, а также вызвать отказ в обслуживании
🛡️
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Для Node-tar: использование рекомендаций производителя: https://github.com/npm/node-tar/security/advisories/GHSA-r628-mhmh-qjhw
Для ОС Debian: использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-32803
Для Astra Linux: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
Для ОСОН Основа: Обновление программного обеспечения node-tar до версии 4.4.6+ds1-3+deb10u1