遠端 Redhat Enterprise Linux 8 主機上安裝的套件受到 RHSA-2020: 0573 公告中提及的多個弱點影響。

  - nodejs：利用格式錯誤的憑證字串，遠端觸發 TLS 伺服器上的宣告 (CVE-2019-15604)

  - nodejs：使用格式錯誤的 Transfer-Encoding 標頭發動 HTTP 要求走私 (CVE-2019-15605)

  - nodejs：HTTP 標頭值未修剪結尾的選用空格 (CVE-2019-15606)

  - npm：安裝時，透過 bin 欄位在 node_modules 資料夾外部發生符號連結參照 (CVE-2019-16775)

  - npm：在 package.json bin 欄位，透過建構的項目，發生任意檔案寫入 (CVE-2019-16776)

  - npm：全域 node_modules 二進位覆寫 (CVE-2019-16777)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

偵測

RHEL 8：nodejs: 10 (RHSA-2020: 0573)

critical Nessus Plugin ID 134028

版本 1.11