Debian dla-4552 : node-tar - セキュリティアップデート

high Nessus プラグイン ID 310898

Language:

概要

リモートの Debian ホストに 1 つ以上のセキュリティ関連の更新プログラムがありません。

説明

リモートのDebian 11ホストには、dla-4552アドバイザリーで言及されている複数の脆弱性の影響を受けるパッケージがインストールされています。

------------------------------------------------------------------------- Debian LTS アドバイザリー DLA-4552-1 [email protected] https://www.debian.org/lts/security/Daniel ライダート 2026年4月29日 https://wiki.debian.org/LTS-------------------------------------------------------------------------

パッケージ : node-tar バージョン : 6.0.5+ds1+~cs11.3.9-1+deb11u3 CVE ID : CVE-2024-28863 CVE-2026-23745 CVE-2026-24842 CVE-2026-26960 CVE-2026-29786 CVE-2026-31802

node-tarという、ポータブルtarアーカイブの読み書きを行うNode.jsモジュールで複数の脆弱性が発見されています。

CVE-2024-28863

多数のサブフォルダを生成すると、システムのメモリを消費し、サブフォルダが多すぎるパスを使うと数秒以内にNode.jsクライアントがクラッシュすることもあります。

CVE-2026-23745

preservePathsがfalseの場合、Link(ハードリンク)およびSymbolicLinkエントリのリンクパスがサニティ化されず、悪意のあるアーカイブが抽出の根の制限を回避し、ハードリンクによる任意のファイル上書きや絶対シンムリンクターゲットによるシンムリンク中毒を引き起こします。

この問題の修正により、以下の複数の脆弱性が導入されます。

CVE-2026-24842

ハードリンクエントリのセキュリティチェックにより、攻撃者はパストラバーサル保護を回避し、抽出ディレクトリ外の任意のファイルへのハードリンクを作成する悪意のあるTARアーカイブを作成できます。

CVE-2026-26960

攻撃者が制御するアーカイブは、抽出ディレクトリ内にハードリンクを作成し、抽出ルート外のファイルを参照することで、抽出ユーザーとして任意のファイルの読み書きを可能にします。

CVE-2026-29786

攻撃者が制御するアーカイブは、ドライブ相対リンクターゲットを用いて抽出ディレクトリの外側を指すハードリンクを作成できます。

CVE-2026-31802

攻撃者が制御するアーカイブは、ドライブ相対リンクターゲットを用いて抽出ディレクトリの外側を指すハードリンクを作成できます。

Debian 11のブルズアイでは、これらの問題はバージョン 6.0.5+ds1+~cs11.3.9-1+deb11u3で修正されています。

Node-tarパッケージのアップグレードを推奨します。

node-tarの詳細なセキュリティ状況については、以下のセキュリティトラッカーページをご覧ください:
https://security-tracker.debian.org/tracker/node-tar

Debian LTS セキュリティアドバイザリに関する詳細、これらの更新をシステムに適用する方法、およびよくある質問については、こちらを参照してください。https://wiki.debian.org/LTSAttachment:signature.ascDescription: これはデジタル署名されたメッセージ部分です

Tenable は、前述の説明ブロックを Debian セキュリティアドバイザリから直接抽出しました。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。