偵測

Amazon Linux 2023:nodejs、nodejs-devel、nodejs-full-i18n (ALAS2023-2023-304)

critical Nessus Plugin ID 180113

語系:

概要

遠端 Amazon Linux 2023 主機缺少一個安全性更新。

說明

因此,會受到 ALAS2023-2023-304 公告中所提及的多個弱點影響。

 - 使用「Module._load()」可繞過原則機制,並針對特定模組要求 policy.json 定義之外的模組。此弱點會影響在下列所有有效版本系列中使用實驗性原則機制的所有使用者:16.x、18.x 和 20.x。請注意,在此 CVE 發布時,此原則為 Node.js 的實驗性功能。(CVE-2023-32002)

 - 使用「module.constructor.createRequire()」可繞過原則機制,並針對特定模組要求 policy.json 定義之外的模組。此弱點會影響在下列所有有效版本系列中使用實驗性原則機制的所有使用者:16.x、18.x 和 20.x。請注意,在此 CVE 發布時,此原則為 Node.js 的實驗性功能。(CVE-2023-32006)

 - https://nodejs.org/en/blog/vulnerability/august-2023-security-releasesSecurity 可用版本 現已提供適用於 v16.x、v18.x 和 v20.x Node.js 版本系列的更新,可解決下列問題。
 可以透過 Module._load 繞過權限原則 (高) (CVE-2023-32002) 使用 Module._load() 可繞過原則機制,並針對特定模組要求 policy.json 定義之外的模組。
 請注意,在此 CVE 發布時,此原則機制為 Node.js 的實驗性功能。影響:此弱點會影響在下列所有有效版本系列中使用實驗性原則機制的所有使用者:16.x、18.x 和 20.x。感謝 mattaustin 報告此弱點,同時感謝 Rafael Gonzaga 和 Bradley Farias 修正此弱點。可透過在緩衝區中指定路徑遊走序列來繞過權限模型 (高) (CVE-2023-32004) 在 Node.js 20 版本中發現一個弱點,特別是在實驗性權限模型中。此缺陷與驗證檔案權限時檔案系統 API 中錯誤處理緩衝區有關,可造成路徑遊走繞過問題。請注意,在此 CVE 發布時,此權限模型為 Node.js 的實驗性功能。
 影響:此弱點會影響使用 Node.js 20 版中實驗性權限模型的所有使用者。
 感謝 Axel Chong 報告此弱點,同時感謝 Rafael Gonzaga 修正此弱點。
 process.binding() 可透過路徑遊走繞過權限模型 (高) (CVE-2023-32558) 使用過時的 API process.binding() 可透過路徑遊走繞過權限模型。請注意,在此 CVE 發布時,此權限模型為 Node.js 的實驗性功能。
 影響:此弱點會影響使用 Node.js 20 版中實驗性權限模型的所有使用者。
 感謝 Rafael Gonzaga 報告並修正此弱點。使用 module.constructor.createRequire() 時權限原則可以假冒其他模組 (中) (CVE-2023-32006) 使用 module.constructor.createRequire() 可繞過原則機制,並針對特定模組要求 policy.json 定義之外的模組。請注意,在此 CVE 發布時,此原則機制為 Node.js 的實驗性功能。影響:此弱點會影響在下列所有有效版本系列中使用實驗性原則機制的所有使用者:16.x、18.x 和 20.x。感謝 Axel Chong 報告此弱點,同時感謝 Rafael Gonzaga 和 Bradley Farias 修正此弱點。
 可透過 process.binding 繞過權限原則 (中) (CVE-2023-32559) 使用過時 API process.binding() 可透過要求內部模組來繞過原則機制,並最終利用 process.binding('spawn_sync') 執行在 policy.json 檔案中定義的限制之外的任意程式碼。請注意,在此 CVE 發布時,此原則為 Node.js 的實驗性功能。影響 此弱點會影響在下列所有有效版本系列中使用實驗性原則機制的所有使用者:16.x、18.x 和 20.x。感謝 LeoDog896 報告此弱點,同時感謝 Tobias Nieen 修正此弱點。fs.statfs 可從受權限模型限制的檔案中擷取統計資料 (低) (CVE-2023-32005) 在 Node.js 第 20 版中發現一個弱點,當 --allow-fs-read 標記與非* 引數一起使用時,此弱點會影響使用實驗性權限模型的使用者。產生此弱點的原因是,權限模型不足,無法透過 fs.statfs API 限制檔案統計資料。因此,惡意執行者可以從他們沒有明確讀取權限的檔案中擷取統計資料。請注意,在此 CVE 發布時,此權限模型為 Node.js 的實驗性功能。影響:此弱點會影響使用 Node.js 20 版中實驗性權限模型的所有使用者。感謝 Rafael Gonzaga 報告並修正此弱點。fs.mkdtemp() 和 fs.mkdtempSync() 缺少 getValidatedPath() 檢查 (低) (CVE-2023-32003) 在路徑遊走攻擊中,fs.mkdtemp() 和 fs.mkdtempSync() 可被用來繞過權限模型檢查。產生此瑕疵的原因是,fs.mkdtemp() API 中缺少檢查,其影響是惡意執行者可建立任意目錄。請注意,在此 CVE 發布時,此權限模型為 Node.js 的實驗性功能。影響:此弱點會影響使用 Node.js 20 版中實驗性權限模型的所有使用者。感謝 Axel Chong 報告此弱點,同時感謝 Rafael Gonzaga 修正此弱點。下載項目和版本詳細資料 Node.js v16.20.2 (LTS) Node.js v18.17.1 (LTS) Node.js v20.5.1 (最新版本) (2023 年 8 月 8 日更新) 安全性版本針對 8 月 9 日 Node.js 安全性版本將於 2023 年 8 月 9 日星期三或之後不久提供。摘要 Node.js 專案將於 2023 年 8 月 8 日星期二或之後不久發布 16.x、18.x 和 20.x 版本系列的新版本,以解決:3 個嚴重性為「高」的問題。
 2 個嚴重性為「中等」的問題。2 個嚴重性為「低」的問題。OpenSSL 安全性更新 此安全性版本包含下列 OpenSSL 安全性更新 OpenSSL 7 月 14 日安全公告。OpenSSL 7 月 19 日安全公告。OpenSSL 7 月 31 日安全公告。影響 Node.js 20.x 版本容易發生 3 個嚴重性為「高」的問題、2 個嚴重性為「中等」的問題和 2 個嚴重性為「低」的問題。Node.js 18.x 版本系列容易發生 1 個嚴重性為「高」的問題和 2 個嚴重性為「中等」的問題。Node.js 16.x 版本系列容易發生 1 個嚴重性為「高」的問題和 2 個嚴重性為「中等」的問題。(CVE-2023-32559)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

執行「dnf update nodejs --releasever 2023.1.20230823」以更新系統。

另請參閱

https://alas.aws.amazon.com/AL2023/ALAS-2023-304.html

https://alas.aws.amazon.com/cve/html/CVE-2023-32002.html

https://alas.aws.amazon.com/cve/html/CVE-2023-32006.html

https://alas.aws.amazon.com/cve/html/CVE-2023-32559.html

https://alas.aws.amazon.com/faqs.html

Plugin 詳細資訊

嚴重性: Critical

ID: 180113

檔案名稱: al2023_ALAS2023-2023-304.nasl

版本: 1.4

類型: local

代理程式: unix

已發布: 2023/8/24

已更新: 2023/9/26

支援的感應器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

CVSS v2

風險因素: Critical

基本分數: 10

時間分數: 7.8

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2023-32002

CVSS v3

風險因素: Critical

基本分數: 9.8

時間分數: 8.8

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:P/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:amazon:linux:nodejs, p-cpe:/a:amazon:linux:nodejs-debuginfo, p-cpe:/a:amazon:linux:nodejs-debugsource, p-cpe:/a:amazon:linux:nodejs-devel, p-cpe:/a:amazon:linux:nodejs-docs, p-cpe:/a:amazon:linux:nodejs-full-i18n, p-cpe:/a:amazon:linux:nodejs-libs, p-cpe:/a:amazon:linux:nodejs-libs-debuginfo, p-cpe:/a:amazon:linux:npm, p-cpe:/a:amazon:linux:v8-devel, cpe:/o:amazon:linux:2023

必要的 KB 項目: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2023/8/17

弱點發布日期: 2023/8/10

參考資訊

CVE: CVE-2023-32002, CVE-2023-32006, CVE-2023-32559