偵測

Plugin

Amazon Linux 2023：nodejs20、nodejs20-devel、nodejs20-full-i18n (ALAS2023-2026-1464)

high Nessus Plugin ID 301359

語言:

概要

遠端 Amazon Linux 2023 主機缺少一個安全性更新。

說明

因此，會受到 ALAS2023-2026-1464 公告中所提及的多個弱點影響。

node-tar 是 Node.js 的 Tar。當preservePaths 為 false (預設的安全行為) 時node-tar 程式庫 (<= 7.5.2) 無法清理連結 (固定連結) 和 SymbolicLink 項目的連結路徑。這可讓惡意封存繞過擷取 root 限制進而透過絕對符號連結目標透過固定連結導致任意檔案覆寫和符號連結毒害。此弱點已在 7.5.3 中修正。
(CVE-2026-23745)

在 7.5.3版及之前的所有版本中node-tar (Node.js 的 Tar) 存有一個爭用情形弱點。這是因為在 `path-reservations` 系統中未完整處理 Unicode 路徑衝突所導致。在區分大小寫或不區分標準化的檔案系統上 (例如 macOS APFS在中對其進行了測試)程式庫無法鎖定衝突的路徑 (例如「ss」和「ss」)因此可將其平行處理。這會繞過程式庫的內部並行保護機制並允許透過爭用情形發動符號連結毒害攻擊。程式庫使用 `PathReservations` 系統確保相同路徑的詮釋資料檢查和檔案作業皆已序列化。如此可防止一個項目可能同時攻擊另一個項目的爭用情形。這是會啟用任意檔案覆寫的爭用情形。此弱點會影響在 macOS (APFS/HFS+) 上使用 node-tar 的使用者和系統。由於使用 `NFD` Unicode 標準化 (其中 `ss` 和 `ss` 是不同的)在忽略 Unicode 標準化 (例如APFS (其中 `ss` 會造成 inode與 `ss` 的衝突))。這可讓攻擊者使用惡意 tar 封存中衝突的檔案名稱規避內部平行化鎖定 (`PathReservations`)。 7.5.4 版中的修補程式更新了「path-reservations.js」以使用符合目標檔案系統行為的標準化形式 (例如「NFKD」)先是「toLocaleLowerCase('en')」然後是「toLocaleUpperCase(」) en')`。
因使用者無法及時升級以及以程式設計方式使用「node-tar」來擷取任意 tarball 資料的使用者應篩選出所有「SymbolicLink」項目 (如 npm) 以防禦透過此檔案系統項目名稱的任意檔案寫入衝突問題。 (CVE-2026-23950)

Tenable 已直接從所測試產品的安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

執行「dnf update nodejs20 --releasever 2023.10.20260302」或或「dnf update --advisory ALAS2023-2026-1464 --releasever 2023.10.20260302」以更新系統。

另請參閱

https://alas.aws.amazon.com/faqs.html

https://explore.alas.aws.amazon.com/CVE-2026-23745.html

https://explore.alas.aws.amazon.com/CVE-2026-23950.html

https://alas.aws.amazon.com//AL2023/ALAS2023-2026-1464.html

Plugin 詳細資訊

嚴重性: High

ID: 301359

檔案名稱: al2023_ALAS2023-2026-1464.nasl

版本: 1.1

類型: local

代理程式: unix

系列: Amazon Linux Local Security Checks

已發布: 2026/3/6

已更新: 2026/3/6

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.0

CVSS v2

風險因素: Medium

基本分數: 5.6

時間性分數: 4.4

媒介: CVSS2#AV:L/AC:L/Au:N/C:C/I:P/A:N

CVSS 評分資料來源: CVE-2026-23745

CVSS v3

風險因素: Medium

基本分數: 6.1

時間性分數: 5.5

媒介: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N

時間媒介: CVSS:3.0/E:P/RL:O/RC:C

CVSS v4

風險因素: High

Base Score: 8.2

Threat Score: 6.8

Threat Vector: CVSS:4.0/E:P

Vector: CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:L/VA:N/SC:H/SI:L/SA:N

弱點資訊

CPE: p-cpe:/a:amazon:linux:v8-11.3-devel, p-cpe:/a:amazon:linux:nodejs20-debugsource, p-cpe:/a:amazon:linux:nodejs20-devel, p-cpe:/a:amazon:linux:nodejs20, p-cpe:/a:amazon:linux:nodejs20-npm, p-cpe:/a:amazon:linux:nodejs20-libs, p-cpe:/a:amazon:linux:nodejs20-debuginfo, p-cpe:/a:amazon:linux:nodejs20-full-i18n, p-cpe:/a:amazon:linux:nodejs20-libs-debuginfo, p-cpe:/a:amazon:linux:nodejs20-docs, cpe:/o:amazon:linux:2023

必要的 KB 項目: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2026/3/5

弱點發布日期: 2026/1/16

參考資訊

CVE: CVE-2026-23745, CVE-2026-23950