Rocky Linux 9nodejs 和 nodejs-nodemon (RLSA-2022:6595)

critical Nessus Plugin ID 171017

語言:

概要

遠端 Rocky Linux 主機缺少一個或多個安全性更新。

說明

遠端 Rocky Linux 9 主機已安裝一個受到 RLSA-2022:6595 公告中提及的多個弱點影響的套件。

- 在工作區中執行時或使用工作區標記 (即「--workspaces」、「--workspace=<name>」)執行時，npm pack 會忽略 root 層級的 .gitignore 和 .npmignore 檔案排除指示詞。自 v7.9.0 和 v7.13.0 起，所有已在工作區中執行「npm pack」或「npm Publisher」的使用者都可能受到影響，還有已經將檔案發佈到他們不打算包含的 npm 登錄檔中的使用者也會受影響。使用者應升級至 npm v8.11.0 的最新修補版本執行npm i -g npm@latest。Node.js v16.15.1、v17.19.1 和 v18.3.0 版包含已修補的 v8.11.0 版 npm。(CVE-2022-29244)

- 這會影響 1.3.6 版之前的 ini 套件。如果攻擊者將惡意 INI 檔案提交至會使用 ini.parse 剖析檔案的應用程式，其會污染應用程式上的原型。視內容而定，此問題可能會遭到進一步利用。(CVE-2020-7788)

- 這會影響低於 5.1.2 版本的 glob-parent 套件。enclosure regex 先前用於檢查以包含路徑分隔符號的 enclosure 結尾的字串。(CVE-2020-28469)

- ansi-regex 容易受到低效規則運算式複雜性的影響 (CVE-2021-3807)

- 在適用 Node.js 的低於 4.5.1、5.x 至 5.3.1 以及 6.x 至 6.0.1 的 normalize-url 套件中，存在一個 ReDoS (規則運算式拒絕服務) 問題，因 data:URL 的指數表現引起。
(CVE-2021-33502)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。