Debian DLA-3260-1：node-xmldom - LTS 安全性更新

critical Nessus Plugin ID 169694

語系：

概要

遠端 Debian 主機上缺少一個或多個安全性更新。

說明

遠端 Debian 10 主機上安裝的一個套件受到 dla-3260 公告中提及的多個弱點影響。

- xmldom 是完全基於 JavaScript W3C 標準 (XML DOM Level 2 Core) 的 DOMParser 和 XMLSerializer 模組。
xmldom 0.4.0 版和更舊版本在重複剖析和序列化惡意特製文件時，未正確保留系統識別碼、FPI 或命名空間。在某些下游應用程式的 XML 處理期間，這可能會意外導致語法變更。此問題已在 0.5.0 版本中修正。作為因應措施，下游應用程式可以驗證輸入並拒絕惡意製作的文件。
(CVE-2021-21366)

- Passport-SAML 是 Passport (Node.js 驗證程式庫) 的 SAML 2.0 驗證提供程式。遠端攻擊者可能會在使用 Passport-saml 的網站上繞過 SAML 驗證。若要攻擊成功，攻擊者需要擁有任意 IDP 簽署的 XML 元素。根據所使用的 IDP 不同，如果可觸發程式產生已簽署的訊息，則也可能在完全未經驗證的情況下執行攻擊 (例如，無法存取有效使用者)。使用者應升級至 passport-saml 3.2.2 版或更新版本。4.0.0-beta.5 版之前的 node-saml 測試版也存在此問題。如果您無法升級，可停用 SAML 驗證做為因應措施。(CVE-2022-39299)

- xmldom 是完全基於 JavaScript W3C 標準 (XML DOM Level 2 Core) 的 DOMParser 和 XMLSerializer 模組。xmldom 包含多個頂層元素，所以會剖析格式不正確的 XML，並將所有 root 節點新增到「Document」的「childNodes」集合，而不會報告或擲回任何錯誤。這破壞了樹狀結構中只有一個 root 節點的假設，導致 CVE-2022-39299 的發佈 (因爲這是潛在的相依性問題)。更新爲 @xmldom/xmldom@~0.7.7、@xmldom/xmldom@~0.8.4 (dist-tag latest) 或 @xmldom/xmldom@>=0.9.0-beta.4 (dist-tag next)。作為因應措施，請根據您的使用案例，採用下列方法之一：不搜尋整個 DOM 中的元素，只在 documentElement 中搜尋或拒絕含有 1 個以上「childNode」的文件。(CVE-2022-39353)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。