「Top 5 New Open Source Security Vulnerabilities in May 2019」に挙げられているfstreamの「Arbitrary File Overwrite」について、日本語情報がJVNDB等にも見つからなかったのでアドバイザリーを和訳しておく。なお冒頭記事の公開時点では、NVDに登録されていなかったとのこと(多分まだNVDにはみつからないはず)。
任意のファイルが上書きされる - fstream
※以下は https://www.npmjs.com/advisories/886 の私訳です。
概要
fstream 1.0.12以前のバージョンには、任意のファイルを上書きされる脆弱性があります。ハードリンクを含むtarボールを展開する際、システム上にそのファイルが存在する場合に、このハードリンクに対応するファイルがその展開された内容で、システム上のファイルを上書きします。fstream.DirWriter()に脆弱性があります。
修正方法
1.0.12またはそれ以降のバージョンにアップグレードしてください。
リソース
本ページ内容は筆者が参照の便のためにある時点でまとめた個人的なメモです。内容を保証するものではなく、また筆者の所属組織等とは一切かかわりがありません。