偵測

Amazon Linux 2023:nodejs20、nodejs20-devel、nodejs20-full-i18n (ALAS2023-2024-749)

medium Nessus Plugin ID 210001

語系:

概要

遠端 Amazon Linux 2023 主機缺少一個安全性更新。

說明

因此,會受到 ALAS2023-2024-749 公告中所提及的多個弱點影響。

 在 Node.js 中發現一個弱點,當 --allow-fs-read 旗標使用時,此弱點會影響實驗權限模型的使用者。產生此弱點的原因是,權限模型不足,無法透過 fs.lstat API 限制檔案統計資料。因此,惡意執行者可以從他們沒有明確讀取權限的檔案中擷取統計資料。(CVE-2024-22018)

 Node.js 中有一個允許繞過網路匯入限制的安全性缺陷。攻擊者可藉由在資料 URL 中內嵌非網路匯入,執行任意程式碼,進而危害系統安全性。經過多平台驗證,可透過禁止在網路匯入中使用資料 URL 來緩解此弱點。惡意利用此缺陷會違反網路匯入安全性原則,對開發人員和伺服器造成風險。(CVE-2024-22020)

 node-tar 是 Node.js 的 Tar。6.2.1 版之前的 node-tar 對在資料夾建立過程中可建立的子資料夾數目沒有限制。產生大量子資料夾的攻擊者可消耗執行 node-tar 之系統上的記憶體,甚至在使用內含太多子資料夾的路徑執行 Node.js 用戶端后數秒內致使其損毀。6.2.1 版可透過防止在過深的子資料夾中擷取資料來修正此問題。(CVE-2024-28863)

 在 Node.js 中發現一個弱點,當 --allow-fs-write 旗標使用時,此弱點會影響實驗權限模型的使用者。

 Node.js 權限模型無法在檔案描述符號上運作,不過,fs.fchown 或 fs.fchmod 等作業可使用唯讀檔案描述符號來變更檔案的擁有者和權限。
 (CVE-2024-36137)

Tenable 已直接從所測試產品的安全公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

執行「dnf update nodejs20 --releasever 2023.6.20241028」以更新系統。

另請參閱

https://alas.aws.amazon.com/AL2023/ALAS-2024-749.html

https://alas.aws.amazon.com/cve/html/CVE-2024-22018.html

https://alas.aws.amazon.com/cve/html/CVE-2024-22020.html

https://alas.aws.amazon.com/cve/html/CVE-2024-28863.html

https://alas.aws.amazon.com/cve/html/CVE-2024-36137.html

https://alas.aws.amazon.com/faqs.html

Plugin 詳細資訊

嚴重性: Medium

ID: 210001

檔案名稱: al2023_ALAS2023-2024-749.nasl

版本: 1.1

類型: local

代理程式: unix

已發布: 2024/10/31

已更新: 2024/10/31

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.3

CVSS v2

風險因素: High

基本分數: 7.6

時間分數: 5.6

媒介: CVSS2#AV:N/AC:H/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2024-22020

CVSS v3

風險因素: Medium

基本分數: 6.5

時間分數: 5.7

媒介: CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:U/C:L/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:amazon:linux:v8-11.3-devel, p-cpe:/a:amazon:linux:nodejs20-debugsource, p-cpe:/a:amazon:linux:nodejs20-devel, p-cpe:/a:amazon:linux:nodejs20, p-cpe:/a:amazon:linux:nodejs20-npm, p-cpe:/a:amazon:linux:nodejs20-libs, p-cpe:/a:amazon:linux:nodejs20-debuginfo, p-cpe:/a:amazon:linux:nodejs20-full-i18n, p-cpe:/a:amazon:linux:nodejs20-libs-debuginfo, p-cpe:/a:amazon:linux:nodejs20-docs, cpe:/o:amazon:linux:2023

必要的 KB 項目: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2024/10/24

弱點發布日期: 2024/3/21

參考資訊

CVE: CVE-2024-22018, CVE-2024-22020, CVE-2024-28863, CVE-2024-36137