正文 

当前位置: 首页 > 源码 >

当包是最新的时,如何修复具有任意文件覆盖高漏洞的 NPM 包 Tar?

     2023-02-21     268

关键词:

【中文标题】当包是最新的时,如何修复具有任意文件覆盖高漏洞的 NPM 包 Tar?【英文标题】:How to fix NPM package Tar, with high vulnerability about Arbitrary File Overwrite, when package is up to date? 【发布时间】:2019-09-02 10:12:06 【问题描述】:

我刚刚从 NPM 安装了 Flickity,并在运行 npm audit 后获得了 NPM 审计安全报告,指出我在包 tar 上的 任意文件覆盖 存在高漏洞问题这是 node-sass 的依赖项,您可以在此处看到:

High......................... Arbitrary File Overwrite                                     
Package...................... tar                                                          
Patched in................... >=4.4.2                                                      
Dependency of................ node-sass [dev]                                              
Path......................... node-sass > node-gyp > tar                                   
More info.................... https://npmjs.com/advisories/803

运行npm audit fix 并没有解决问题,因为该漏洞需要人工审查。 更多信息 链接上的建议说升级到版本4.4.2 或更高版本。当我运行npm show tar version 时,我意识到我正在运行版本4.4.8,这让我很困惑。我去了package-lock.json,发现node-gyp是node-sass的一个依赖,使用的是tar版本^2.0.0

这让我很困惑,因为我已经看到许多不同的 tar 版本作为其他包的依赖项,但这个 node-sass > node-gyp > tar versionv4.4.2 下的唯一一个。为什么它会这样工作,为什么我必须手动修复它以及如何手动修复/升级这个 tar 包?

【问题讨论】:

【参考方案1】:

问题正在 gitgub 页面上跟踪

https://github.com/sass/node-sass/issues/2625

【讨论】:

【参考方案2】:

请更新“package-lock.json”文件中“tar”的值。要验证,请运行“[npm audit][1]”。

"tar": 
      "version": "4.4.8",
      "resolved": "https://registry.npmjs.org/tar/-/tar-4.4.8.tgz",
      "integrity": "value",
      "dev": true,
      "optional": true,
      "requires": 
        "block-stream": "*",
        "fstream": "^1.0.2",
        "inherits": "2"

【讨论】:

【参考方案3】:

在您的 package-lock.jason 中将节点的 tar 更新到以下 (v 4.4.8):

"版本": "4.4.8", “已解决”:“https://registry.npmjs.org/tar/-/tar-4.4.8.tgz”

【讨论】:

npm 可能会覆盖这些设置,因此:使用 npm ci 从 package-lock.jason 文件而不是 package.jason 加载您的设置 你的评论对我来说是没有其他答案的。谢谢!【参考方案4】:

来自SASS github issue: 打开 package-lock.json 找到“焦油” 应该是这样的:

"version": "2.2.1",
"resolved": "https://registry.npmjs.org/tar/-/tar-2.2.1.tgz",
"integrity": "sha1-jk0qJWwOIYXGsYrWlK7JaLg8sdE=",

将这 3 行替换为:

"version": "4.4.8",
"resolved": "https://registry.npmjs.org/tar/-/tar-4.4.8.tgz",
"integrity": "sha512-LzHF64s5chPQQS0IYBn9IN5h3i98c12bo4NCO7e0sGM2llXQ3p2FGC5sdENN4cTW48O915Sh+x+EXx7XW96xYQ==",

删除文件夹:

node_modules\npm
npm i
npm audit fix
npm audit

多田!

【讨论】:

不需要这样做。 npm audit fix 将修复它,因为这个问题已经解决并关闭,你可以在这里看到github.com/sass/node-sass/issues/2625(上面批准的答案)

dedecms漏洞修复大全含任意文件上传漏洞与注入漏洞

...能修复的话,这些都不是问题,今天我就为大家讲解一下如何修复任意文件上传漏洞与注入漏洞。任意文件上传漏洞修复包含一个文件/include/dialog/select_soft_post.php;SQL注入漏洞包含5个文件/include/filter.inc.php/member/mtypes.php/member/pm.p... 查看详情

dedecms漏洞修复大全含任意文件上传漏洞与注入漏洞

...能修复的话,这些都不是问题,今天我就为大家讲解一下如何修复任意文件上传漏洞与注入漏洞。任意文件上传漏洞修复包含一个文件/include/dialog/select_soft_post.php;SQL注入漏洞包含5个文件/include/filter.inc.php/member/mtypes.php/member/p 查看详情

npm audit 任意文件覆盖

...行npmaudit时,它发现了1个高严重性漏洞,但没有提供有关如何解决它的建议。它通常建议从package.json升级一个包,例如:“angular-devkit/build-angular”,但我已经在使用他们 查看详情

网站漏洞修复案例之discuz!3.4最新版本

Discuz!论坛目前最新版本为3.4版本,已经好久没有更新了,我们SINE安全在对其网站安全检测的同时发现一处漏洞,该漏洞可导致论坛的后台文件可以任意的删除,导致网站瘫痪,后台无法登陆。关于该网站漏洞的细节我们来详细... 查看详情

最新zip压缩文件漏洞,黑客可以触发目录遍历攻击

  近日,国内某安全公司研究人员透露了一个关键漏洞的详细信息,该漏洞影响了许多生态系统中的数千个项目,黑客可以利用这些漏洞在目标系统上实现代码执行。  黑客是如何通过Zip压缩文件入侵攻击?被称为“ZipSlip... 查看详情

定心丸!zipperdown漏洞分析与修复建议

本文由  网易云 发布。 近日,盘古实验室对外披露了ZipperDown漏洞,该漏洞是盘古团队针对不同客户的iOS应用安全审计的过程中发现的,大约有10%的iOS应用会受到此漏洞的影响。 利用此漏洞可以做很多事情,... 查看详情

定心丸!zipperdown漏洞分析与修复建议

近日,盘古实验室对外披露了ZipperDown漏洞,该漏洞是盘古团队针对不同客户的iOS应用安全审计的过程中发现的,大约有10%的iOS应用会受到此漏洞的影响。利用此漏洞可以做很多事情,例如实现目录遍历攻击和AppContainer目录中任... 查看详情

您如何覆盖传递的 nuget 依赖项

...存在漏洞的包具有传递依赖。我还明确添加了包含漏洞的最新版本的软件包。有没有办法可以用更新的版本覆盖传递依赖?【问题讨论】:【参考方案1】:听起来您已经完成了-您只能使用每个包的一个版本,NuGet在还 查看详情

怎么修复网站漏洞骑士cms的漏洞修复方案

...据库的架构,2019年1月份被某安全组织检测出漏洞,目前最新版本4.2存在高危网站漏洞,通杀SQ 查看详情

分享网站漏洞检测与如何修复网站逻辑漏洞

...p漏洞修复MetInfo漏洞修复ecshop网站安全修补dz论坛Discuz_X3.4最新网站漏洞网站安全文章标签:网站漏洞如何修复如何修复网站漏洞网站漏洞修补版权在网站安全的日常安全检测当中,我们SINE安全公 查看详情

cve-2022-27925zimbra任意文件上传漏洞复现(代码片段)

...xff1a;0x06漏洞复现:利用POC:0x07流量分析:0x08修复建议:0x01声明:        仅供学习参考使用,请勿用作违法用途,否则后果自负。0x02简介:        Zimbra提供一套开源协同办公套件包括WebM... 查看详情

tomcat漏洞挖掘之暴力破解和任意文件上传

...ATA来进行绕过漏洞复现方法四:上传哥斯特生产的jsp漏洞修复建议 查看详情

漏洞复现weblogic任意文件上传漏洞(代码片段)

...0x02漏洞环境0x03漏洞复现0x01漏洞背景Oracle7月更新中,修复了WeblogicWebServiceTestPage中一处任意文件上传漏洞,WebServiceTestPage在“生产模式”下默认不开启,所以该漏洞有一定限制。利用该 查看详情

漏洞复现weblogic任意文件上传漏洞(代码片段)

...0x02漏洞环境0x03漏洞复现0x01漏洞背景Oracle7月更新中,修复了WeblogicWebServiceTestPage中一处任意文件上传漏洞,WebServiceTestPage在“生产模式”下默认不开启,所以该漏洞有一定限制。利用该 查看详情

dedecms5.7最新漏洞修复

...采用织梦cms的童鞋,尽快升级补丁。1.修复:[高危]DedeCMS最新SQL注入漏洞 修复方法:1)下载补丁:http://updatenew.dedecm 查看详情

通达oa前台任意用户登录漏洞

... 成功登录到管理员账户。0x04修复建议  升级通达OA到最新版(当前最新版为11.5.200417),下载地址:https://www.tongda2000.com/download/sp2019.php    POC下载地址:https://github.com/NS-Sp4ce/TongDaOA-Fake-User  通达OA环境:链接:https... 查看详情

通达oa任意用户登录漏洞复现

...位置处成功登录到管理员账户。0x04修复意见升级通达OA到最新版(当前最新版为11.5.200417),下载地址:https://www.tongda2000.com/download/sp2019.php  企鹅群:1045867209欢迎各位表哥博主公众号     &n 查看详情

androidzip解压缩目录穿越导致文件覆盖漏洞(代码片段)

...章目录漏洞简述漏洞实例正常压缩包恶意压缩包历史漏洞任意命令执行问题根因分析漏洞防御漏洞简述zip类型的压缩包文件中允许存在../类型的字符串,用于表示上一层级的目录。攻击者可以利用这一特性,通过精心构... 查看详情