遠端 Oracle Linux 8 主機中安裝的套件受到 ELSA-2022-90731 公告中提及的多個弱點影響。

  - Minimist <=1.2.5 容易受到透過檔案 index.js 的 setKey() 函式 (第 69-95 行) 造成的原型污染弱點影響。
    (CVE-2021-44906)

  - Node.js < 12.22.9、< 14.18.3、< 16.13.2 和 < 17.3.1 會將 SAN (主體別名) 轉換為字串格式。驗證連線時，它會使用此字串根據主機名稱檢查對等憑證。在憑證鏈中使用名稱限制時，字串格式容易受到一個插入弱點影響，進而允許繞過這些名稱限制。具有此修正的 Node.js 版本會溢出包含問題字元的 SAN，以防止插入。此行為可透過 --security-revert 命令列選項還原。(CVE-2021-44532)

  - Node.js < 12.22.9、< 14.18.3、< 16.13.2 和 < 17.3.1 未正確處理多值相對辨別名稱。例如，攻擊者可建構包含單值相對辨別名稱的憑證主體，該名稱會被解譯為多值相對辨別名稱，以便插入允許繞過憑證主體驗證的通用名稱。受影響的 Node.js 版本不會接受多值相對辨別名稱，因此本身不會受到此類攻擊影響。但是，憑證主體使用節點不明確表示法的第三方程式碼可能會受到影響。(CVE-2021-44533)

  - 低於 14.21.1、16.18.1、18.12.1、19.0.1 的 Node.js 版本中存在 OS 命令插入弱點，這是因為 IsAllowedHost 檢查不充分所致，IsIPAddress 在提出 DBS 要求之前未正確檢查 IP 位址是否無效，因而攻擊者可以輕易略過 IsAllowedHost 檢查，執行重新繫結攻擊。https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-32212 中針對此問題的修復不完整，所以提供了新的 CVE 來補充此修復。(CVE-2022-43548)

  - 由於 console.table() 函式的格式化邏輯，在傳送具有至少一個屬性的純物件 (可能是 __proto__) 的同時，將使用者控制的輸入傳送至屬性參數是不安全的。原型污染的控制權非常有限，因為它只允許將空字串指派給物件原型的數值金鑰。Node.js >= 12.22.9、>= 14.18.3、>= 16.13.2 和 >= 17.3.1 使用這些屬性獲派的物件空值原型。(CVE-2022-21824)

  - 接受任意主體別名 (SAN) 類型 (除非特別定義 PKI 以使用特定 SAN 類型) 可導致繞過限制名稱的中繼體。Node.js < 12.22.9、< 14.18.3、< 16.13.2 和 < 17.3.1 接受通常定義為不使用 PKI 的 URI SAN 類型。
    此外，當通訊協定允許 URI SAN 時，Node.js 未與 URI 正確相符。具有此修正的 Node.js 版本會在針對主機名稱檢查憑證時停用 URI SAN 類型。此行為可透過 --security-revert 命令列選項還原。(CVE-2021-44531)

  - 在 minimatch 套件中發現一個弱點。使用特定引數呼叫 breedExpand 函式時，此缺陷允許發生規則運算式拒絕服務 (ReDoS)，進而導致程式拒絕服務。(CVE-2022-3517)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

偵測

Oracle Linux 8：ELSA-2022-9073-1：/ nodejs: 16 (ELSA-2022-90731)

critical Nessus Plugin ID 168852

版本 1.3

版本 1.2

版本 1.3 Sep 15, 2023, 4:16 PM CVSS temporal metrics ("CVSSv2 temporal vector" set to "CVSS2#E:POC/RL:OF/RC:C". "CVSSv3 temporal vector" set to "CVSS:3.0/E:P/RL:O/RC:C") Exploit attributes ("Exploit available" set to "True". "Exploitability ease" changed from "No known exploits are available" to "Exploits are available") Plugin Feed: 202309151616
版本 1.2 Dec 16, 2022, 7:47 AM New Plugin Feed: 202212160747