Amazon Linux 2023 : nodejs20、nodejs20-devel、nodejs20-full-i18n (ALAS2023-2024-544)

critical Nessus Plugin ID 191606

概要

遠端 Amazon Linux 2023 主機缺少一個安全性更新。

說明

因此,會受到 ALAS2023-2024-544 公告中所提及的多個弱點影響。

2024-03-13:已將 CVE-2024-22025 新增至此公告。

Node.js 的權限模型未在說明文件中闡明,萬用字元應僅可用於檔案路徑中的最後一個字元。這份誤導性的說明文件影響了所有在正式版本中啟用實驗性權限模型的使用者,包括 20.x 和 21.x 版本。 請注意,在發出此 CVE 時,權限模型還是 Node.js 的實驗性功能。(CVE-2024-21890)

注意: https://nodejs.org/en/blog/vulnerability/february-2024-security-releases/#multiple-permission-model-bypasses-due-to-improper-path-traversal-sequence-sanitization-cve-2024-21891---medium (CVE-2024-21891)

在 Node.js 中發現一個缺陷。在 Linux 上,若非特權使用者在以提升的權限執行處理程序時已設定特定環境變數,Node.js 就會忽略這些變數,CAP_NET_BIND_SERVICE 則是例外情況。由於此例外狀況的實作中有一個錯誤,因此即使已設定其他功能,Node.js 仍會以不正確的方式套用此例外狀況。非特權使用者可能藉此插入繼承處理程序提升權限的程式碼。(CVE-2024-21892)

注意: https://nodejs.org/en/blog/vulnerability/february-2024-security-releases/#path-traversal-by-monkey-patching-buffer-internals-cve-2024-21896---high (CVE-2024-21896)

注意: https://nodejs.org/en/blog/vulnerability/february-2024-security-releases/#setuid-does-not-drop-all-privileges-due-to-io_uring-cve-2024-22017---high (CVE-2024-22017)

在 Node.js 中發現由於區塊延伸位元組缺少保護措施所導致的缺陷。伺服器可從單一連線讀取不受限制的位元組數目,如此可允許攻擊者傳送具有分塊傳輸編碼的特製 HTTP 要求,進而導致資源耗盡和拒絕服務。
(CVE-2024-22019)

注意:https://nodejs.org/en/blog/release/v18.19.1NOTE:
https://github.com/nodejs/node/commit/f31d47e135973746c4f490d5eb635eded8bb3dda (v18.x)注意:
https://github.com/nodejs/node/commit/9052ef43dc2d1b0db340591a9bc9e45a25c01d90 (主系統) (CVE-2024-22025)

Undici 是針對 Node.js 從頭編寫的 HTTP/1.1 用戶端。Undici 已清除跨來源重新導向的授權標頭,但並未清除 `Proxy-Authentication` 標頭。此問題已在 5.28.3 和 6.6.1 版本中修復。建議所有使用者進行升級。目前沒有任何因應措施可解決此弱點。(CVE-2024-24758)

Tenable 已直接從所測試產品的安全公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

執行「dnf update nodejs20 --releasever 2023.3.20240304」以更新系統。

另請參閱

https://alas.aws.amazon.com/AL2023/ALAS-2024-544.html

https://alas.aws.amazon.com/faqs.html

https://alas.aws.amazon.com/cve/html/CVE-2024-21890.html

https://alas.aws.amazon.com/cve/html/CVE-2024-21891.html

https://alas.aws.amazon.com/cve/html/CVE-2024-21892.html

https://alas.aws.amazon.com/cve/html/CVE-2024-21896.html

https://alas.aws.amazon.com/cve/html/CVE-2024-22017.html

https://alas.aws.amazon.com/cve/html/CVE-2024-22019.html

https://alas.aws.amazon.com/cve/html/CVE-2024-22025.html

https://alas.aws.amazon.com/cve/html/CVE-2024-24758.html

Plugin 詳細資訊

嚴重性: Critical

ID: 191606

檔案名稱: al2023_ALAS2023-2024-544.nasl

版本: 1.5

類型: local

代理程式: unix

已發布: 2024/3/6

已更新: 2025/4/3

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: Critical

基本分數: 10

時間性分數: 7.4

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2024-21896

CVSS v3

風險因素: Critical

基本分數: 9.8

時間性分數: 8.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:amazon:linux:v8-11.3-devel, p-cpe:/a:amazon:linux:nodejs20-debugsource, p-cpe:/a:amazon:linux:nodejs20-devel, p-cpe:/a:amazon:linux:nodejs20, p-cpe:/a:amazon:linux:nodejs20-npm, p-cpe:/a:amazon:linux:nodejs20-libs, p-cpe:/a:amazon:linux:nodejs20-debuginfo, p-cpe:/a:amazon:linux:nodejs20-full-i18n, p-cpe:/a:amazon:linux:nodejs20-libs-debuginfo, p-cpe:/a:amazon:linux:nodejs20-docs, cpe:/o:amazon:linux:2023

必要的 KB 項目: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2024/2/29

弱點發布日期: 2024/2/14

參考資訊

CVE: CVE-2024-21890, CVE-2024-21891, CVE-2024-21892, CVE-2024-21896, CVE-2024-22017, CVE-2024-22019, CVE-2024-22025, CVE-2024-24758