MiracleLinux 8 : nodejs:10 (AXSA:2020-760:01)
high Nessus Plugin ID 291709
語言:
概要
遠端 MiracleLinux 主機缺少一個或多個安全性更新。說明
遠端 MiracleLinux 8 主機已安裝受到多個弱點影響的套件如 AXSA:2020-760:01 公告中所提及。* nghttp2過大 SETTINGS 框架可導致 DoS (CVE-2020-11080) nodejs-minimistprototype 污染允許使用建構函式或 __proto__ 承載新增或修改 Object.prototype 的內容 (CVE-2020-7598)
* nodejsnapi_get_value_string_* 函式中的記憶體損毀 (CVE-2020-8174) CVE-2020-11080 在 1.41.0版之前的 nghttp2 中過大的 HTTP/2 SETTINGS 框架承載會造成拒絕服務。
概念證明攻擊涉及惡意用戶端一遍又一遍地建構長度為 14,400 位元組 (2400 個個別設定項目) 的 SETTINGS 框架。攻擊會造成 CPU 尖峰達到 100%。nghttp2 v1.41.0 已修正此弱點。目前有針對此弱點的因應措施。實作 nghttp2_on_frame_recv_callback 回呼且如果收到的框架是 SETTINGS 框架且設定項目數目很大 (例如 > 32)則中斷連線。
CVE-2020-7598 之前的 1.2.2 minimist 可遭誘騙而使用建構函式或 __proto__ 承載新增或修改 Object.prototype 的內容。
CVE-2020-8174 napi_get_value_string_*() 允許節點 < 10.21.0、 12.18.0和 < 14.4.0中的各種記憶體損毀。
模組化名稱nodejs 資料流名稱10
Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
更新受影響的套件。另請參閱
Plugin 詳細資訊
嚴重性: High
ID: 291709
檔案名稱: miracle_linux_AXSA-2020-760.nasl
版本: 1.2
類型: local
已發布: 2026/1/19
已更新: 2026/1/20
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: High
分數: 7.4
Vendor
Vendor Severity: High
CVSS v2
風險因素: High
基本分數: 9.3
時間性分數: 7.3
媒介: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
CVSS 評分資料來源: CVE-2020-8174
CVSS v3
風險因素: High
基本分數: 8.1
時間性分數: 7.3
媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:P/RL:O/RC:C
弱點資訊
CPE: p-cpe:/a:miracle:linux:nodejs-docs, p-cpe:/a:miracle:linux:nodejs-full-i18n, cpe:/o:miracle:linux:8, p-cpe:/a:miracle:linux:npm, p-cpe:/a:miracle:linux:nodejs, p-cpe:/a:miracle:linux:nodejs-devel
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2020/10/19
弱點發布日期: 2020/3/11