Debians sikkerhedsbulletin
DSA-5008-1 node-tar -- sikkerhedsopdatering
- Rapporteret den:
- 11. nov 2021
- Berørte pakker:
- node-tar
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2021-37701, CVE-2021-37712.
- Yderligere oplysninger:
-
Man opdagede at symlinkudpakningsbeskyttelser i node-tar, et Tar-arkivmodul til Node.js kunne omgås, hvilket gjorde det muligt for et ondsindet Tar-arkiv at symlinke ind på en vilkårlig placering.
I den stabile distribution (bullseye), er disse problemer rettet i version 6.0.5+ds1+~cs11.3.9-1+deb11u2.
Vi anbefaler at du opgraderer dine node-tar-pakker.
For detaljeret sikkerhedsstatus vedrørende node-tar, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/node-tar