Debian dla-4242libjs-anglejs - 安全性更新

medium Nessus Plugin ID 242412

語言:

概要

遠端 Debian 主機上缺少一個或多個安全性更新。

說明

遠端 Debian 11 主機安裝了一個受到 dla-4242 公告中提及的多個弱點影響的套件。

- ------------------------------------------------- ------------------------ Debian LTS 公告 DLA-4242-1 [email protected] https://www.debian.org/lts/security/Bastien Roucaris 2025 年 7 月 20 日 https://wiki.debian.org/LTS
- -------------------------------------------------------------------------

套件版本 1.8.3-1+deb12u1~deb11u1 CVE ID CVE-2022-25844 CVE-2023-26116 CVE-2023-26117 CVE-2023-26118 CVE-2024-8372 CVE-2024-8373 CVE-2024-21490 CVE-2025-0716 CVE-2025-2336 Debian 錯誤 #1014779 #1036694 #1088804 #1088805 #1104485

受歡迎的 JavaScript 架構 angle.js 受到多個弱點影響。

CVE-2022-25844

在提供自訂地區設定規則時發現一個規則運算式拒絕服務弱點 (ReDoS)此弱點可讓 NUMBER_FORMATS.PATTERNS[1].posPre 的 posPre: ' '.repeat() 指派具有非常高的值

CVE-2023-26116

透過 angle.copy() 公用程式函式發現一個規則運算式拒絕服務 (ReDoS) 情形這是因為使用不安全的規則運算式所致。

CVE-2023-26117

由於使用不安全的規則運算式因此透過 $resource 服務發現規則運算式拒絕服務 (ReDoS)。

CVE-2023-26118

在 <input type=url> 元素中發現一個規則運算式拒絕服務 (ReDoS) 情形這是因為在 input[url] 功能中使用不安全的規則運算式所致。
透過特製的大型輸入可利用此弱點造成災難性回溯。

CVE-2024-8372

不當清理角JS 中的「srcset」屬性值讓攻擊者得以繞過常見的影像來源限制其也可導致內容偽造

CVE-2024-8373

若未適當清理角JS 中 <source> HTML 元素的 [srcset] 屬性值攻擊者即可繞過常見的影像來源限制其也可導致內容偽造

CVE-2024-21490

用於分割 ng-srcset 指示詞值的規則運算式容易因為回溯而受到超線性運行時間影響。透過大量的特製輸入這可導致災難性的回溯並造成拒絕服務。

CVE-2025-0716

在角JS 中不當清理「<image>」SVG 元素之 'href' 和 'xlink:href' 屬性的值讓攻擊者得以繞過常見的影像來源限制。這可導致某種形式的內容偽造。

CVE-2025-2336

在 ngSanitize 模組中發現一個不當清理弱點其允許攻擊者繞過通常套用至影像元素的常見影像來源限制。此繞過可進一步導致某種形式的內容偽造。同樣地使用太大或載入緩慢的影像也會對應用程式的效能和行為造成負面影響。

針對 Debian 11 Bullseye這些問題已在 1.8.3-1+deb12u1~deb11u1 版本中修正。

建議您升級 angular.js 套件。

如需 angle.js 的詳細安全性狀態請參閱其安全性追踪頁面
https://security-tracker.debian.org/tracker/angular.js

有關 Debian LTS 安全公告、如何將這些更新套用至您的系統以及常見問題的詳細資訊，請參閱 : https://wiki.debian.org/LTS

Tenable 已直接從 Debian 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。