偵測

Node.js 14.x < 14.20.1 / 16.x < 16.17.1 / 18.x < 18.9.1 多個弱點 (2022 年 9 月 23 日安全性版本)。

critical Nessus Plugin ID 165633

語系:

概要

Node.js - JavaScript 執行階段環境受到多個弱點影響。

說明

遠端主機上安裝的 Node.js 版本早於 14.20.1、16.17.1 或 18.9.1。因此,它受到 2022 年 9 月 23 日安全性版本公告中所提及的多個弱點影響。

 - 針對 CVE-2022-32212 的修復涵蓋可路由 IP 位址的情況,但是在處理 http://0.0.0.0 URL 時,macOS 裝置上存在一個特定行為,該行為允許受攻擊者控制的 DNS 伺服器藉由解析 .local 網域中的主機來繞過 DNS 重新繫結保護。受攻擊者控制的 DNS 伺服器可將 <Computer Name>.local 解析為任意 IP 位址,進而造成受害者的瀏覽器在 http://0.0.0.0 載入任意內容。這讓攻擊者可以繞過 DNS 重新繫結保護。感謝 Zeyu Zhang (@zeyu2001) 報告此弱點,同時感謝 Rafael Gonzaga 修復此弱點。影響:(CVE-2022-32212)

 - 由於針對 CVE-2022-32215 的修復不夠完全,Node.js v16.16.0 和 18.7.0 中 http 模組中的 llhttp 剖析器無法正確處理多行 Transfer-Encoding 標頭,這可導致 HTTP 要求走私 (HRS)。感謝 JFrog CSO 團隊的 Liav Gutman 報告此弱點,同時感謝 Paolo Insogna 修復此弱點。影響:(CVE-2022-32215)

 - 使用 Node.js HTTP 剖析器支援的 obs-fold 可繞過針對 CVE-2022-32213 的修復。如果使用 Node.js HTTP 模組作為 Proxy,則它會在折疊標頭時錯誤地將 transfer-encoding 標頭剖析為指示區塊要求,並因此向下游伺服器轉送 Transfer-Encoding: chunked abc,而這並非有效的 transfer-encoding 標頭。因此,這可導致 CVE-2022-32213 中指出的 HTTP 要求走私攻擊。感謝 Haxatron 報告此弱點。
 影響:(CVE-2022-32213)

 - Node.js v18.7.0 的 http 模組中的 llhttp 剖析器未正確處理非以 CLRF 結尾的標頭欄位,這可能會導致 HTTP 要求走私攻擊。感謝 VVX7 報告此弱點。影響:(CVE-2022-35256)

 - 在 MacOS 主機上的 Node.js 18 和更高版本中,處理程序在啓動時會嘗試讀取通常不存在的 /home/iojs/build/ws/out/Release/obj.target/deps/openssl/openssl.cnf。攻擊者若可以使用自行選擇的使用者名稱 (iojs) 存取共用 MacOS 主機,則可影響其他使用者的 OpenSSF 組態。感謝 Michael Dawson 報告 (並修復) 此弱點。影響:(CVE-2022-32222)

 - Node.js 會呼叫 src/crypto/crypto_keygen.cc 中 SecretKeyGenTraits: : DoKeyGen() 的 EntropySource(),
 但不會檢查傳回值,而是會假設 EntropySource() 總是成功,但實際上它可能 (有時會) 失敗。感謝 Ben Noordhuis 報告 (並修復) 此弱點。影響:
 (CVE-2022-35255)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

升級至 Node.js 14.20.1 / 16.17.1 / 18.9.1 版本或更新版本。

另請參閱

http://www.nessus.org/u?7b6fbe18

Plugin 詳細資訊

嚴重性: Critical

ID: 165633

檔案名稱: nodejs_2022_sep.nasl

版本: 1.9

類型: local

代理程式: windows, macosx, unix

系列: Misc.

已發布: 2022/10/3

已更新: 2024/1/9

組態: 啟用徹底檢查

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.0

CVSS v2

風險因素: High

基本分數: 9.4

時間分數: 7.8

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:N

CVSS 評分資料來源: CVE-2022-35255

CVSS v3

風險因素: Critical

基本分數: 9.1

時間分數: 8.4

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

時間媒介: CVSS:3.0/E:F/RL:O/RC:C

弱點資訊

CPE: cpe:/a:nodejs:node.js

必要的 KB 項目: installed_sw/Node.js

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2022/9/15

弱點發布日期: 2022/7/8

參考資訊

CVE: CVE-2022-32212, CVE-2022-32213, CVE-2022-32215, CVE-2022-32222, CVE-2022-35255, CVE-2022-35256

IAVB: 2022-B-0036-S