偵測

Oracle Linux 9:nodejs / 和 / nodejs-nodemon (ELSA-2022-6595)

critical Nessus Plugin ID 165309

語系:

概要

遠端 Oracle Linux 主機缺少一個或多個安全性更新。

說明

遠端 Oracle Linux 9 主機中安裝的套件受到 ELSA-2022-6595 公告中提及的多個弱點影響。

 - 這會影響 1.3.6 版之前的 ini 套件。如果攻擊者將惡意 INI 檔案提交至會使用 ini.parse 剖析檔案的應用程式,其會污染應用程式上的原型。視內容而定,此問題可能會遭到進一步利用。(CVE-2020-7788)

 - 14.20.0、16.16.0、18.5.0 之前的 Node.js 版本中有一個 OS 命令注入弱點,這是因為 IsAllowedHost 檢查不充分所致,因為 IsIPAddress 在提出 DBS 要求之前未正確檢查 IP 位址是否無效,進而允許重新系結攻擊。(CVE-2022-32212)

 - Node.js v17.x http 模組中的 llhttp 剖析器未正確剖析和驗證 Transfer-Encoding 標頭,進而可能導致 HTTP 要求走私 (HRS)。(CVE-2022-32213)

 - Node.js 12.1.0 之前版本的 got 套件 (也已經在 11.8.5 中得到修正) 允許重新導向至 UNIX 通訊端。
 (CVE-2022-33987)

 - Node.js http 模組中的 llhttp 剖析器未嚴格使用 CRLF 序列來分隔 HTTP 要求。這可能導致 HTTP 要求走私 (HRS)。(CVE-2022-32214)

 - Node v17.6.0 http 模組中的 llhttp 剖析器未正確處理多行傳輸編碼標頭。這可能導致 HTTP 要求走私 (HRS)。(CVE-2022-32215)

 - 在工作區中執行時或使用工作區標記 (即「--workspaces」、「--workspace=<name>」)執行時,npm pack 會忽略 root 層級的 .gitignore 和 .npmignore 檔案排除指示詞。自 v7.9.0 和 v7.13.0 起,所有已在工作區中執行「npm pack」或「npm Publisher」的使用者都可能受到影響,還有已經將檔案發佈到他們不打算包含的 npm 登錄檔中的使用者也會受影響。使用者應升級至最新的 npm v8.11.0 修補版本,並執行:npm i -g npm@latest 。Node.js v16.15.1、v17.19.1 和 v18.3.0 版包含已修補的 v8.11.0 版 npm。(CVE-2022-29244)

 - 這會影響低於 5.1.2 版本的 glob-parent 套件。enclosure regex 先前用於檢查以包含路徑分隔符號的 enclosure 結尾的字串。(CVE-2020-28469)

 - ansi-regex 容易受到低效規則運算式複雜性的影響 (CVE-2021-3807)

 - 在適用 Node.js 的低於 4.5.1 版的 normalize-url、低於 5.3.1 版的 normalize-url 5.x 以及低於 6.0.1 版的 normalize-url 6.x 套件中,存在一個 ReDoS (規則運算式拒絕服務) 問題,這是由於這些套件對於 data: URL 具有指數性能所致。
 (CVE-2021-33502)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼。

解決方案

更新受影響的套件。

另請參閱

https://linux.oracle.com/errata/ELSA-2022-6595.html

Plugin 詳細資訊

嚴重性: Critical

ID: 165309

檔案名稱: oraclelinux_ELSA-2022-6595.nasl

版本: 1.6

類型: local

代理程式: unix

已發布: 2022/9/22

已更新: 2023/10/11

支援的感應器: Frictionless Assessment Agent, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

CVSS v2

風險因素: High

基本分數: 7.5

時間分數: 6.2

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 評分資料來源: CVE-2020-7788

CVSS v3

風險因素: Critical

基本分數: 9.8

時間分數: 9.1

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:F/RL:O/RC:C

弱點資訊

CPE: cpe:/o:oracle:linux:9, p-cpe:/a:oracle:linux:nodejs, p-cpe:/a:oracle:linux:nodejs-docs, p-cpe:/a:oracle:linux:nodejs-full-i18n, p-cpe:/a:oracle:linux:nodejs-libs, p-cpe:/a:oracle:linux:nodejs-nodemon, p-cpe:/a:oracle:linux:npm

必要的 KB 項目: Host/OracleLinux, Host/RedHat/release, Host/RedHat/rpm-list, Host/local_checks_enabled

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2022/9/22

弱點發布日期: 2020/12/11

參考資訊

CVE: CVE-2020-28469, CVE-2020-7788, CVE-2021-33502, CVE-2021-3807, CVE-2022-29244, CVE-2022-32212, CVE-2022-32213, CVE-2022-32214, CVE-2022-32215, CVE-2022-33987

IAVB: 2022-B-0036-S