Debian DLA-3137-1:nodejs - LTS 安全更新
critical Nessus 插件 ID 165709
语言:
简介
远程 Debian 主机上缺少一个或多个与安全性相关的更新。描述
远程 Debian 10 主机上安装的程序包受到 dla-3137 公告中提及的多个漏洞影响。- 低于 16.6.0、14.17.4 和 12.22.4 版的 Node.js 容易受到释放后使用攻击,攻击者可能利用内存损坏来更改进程行为。(CVE-2021-22930)
- 如果未正确使用 Node.js https API,并且为 rejectUnauthorized 参数传入了 undefined,则应用程序不会返回任何错误,且会接受与具有过期证书的服务器的连接。(CVE-2021-22939)
- 低于 16.6.1、14.17.5 和 12.22.5 版的 Node.js 容易受到释放后使用攻击,攻击者可能利用内存损坏来更改进程行为。(CVE-2021-22940)
- 由于 console.table() 函数的格式化逻辑,允许将用户控制的输入传递给属性参数,同时传递一个具有至少一个属性的普通对象作为第一个参数(可能是 __proto__)是不安全的。原型污染的控制权非常有限,因为它只允许将空字符串分配给对象原型的数字键。Node.js >= 12.22.9、>= 14.18.3、>= 16.13.2 和 >= 17.3.1 的版本对已获分配这些属性的对象使用空原型。(CVE-2022-21824)
- 低于 14.20.0、16.16.0、18.5.0 的 Node.js 版本中存在操作系统命令注入漏洞,这是因为 IsAllowedHost 检查不充分所致,IsIPAddress 在发出 DBS 请求前未正确检查 IP 地址是否无效,从而导致可轻松绕过该漏洞并允许重新绑定攻击。(CVE-2022-32212)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
升级 nodejs 程序包。对于 Debian 10 Buster,已在 10.24.0~dfsg-1~deb10u2 版本中修复这些问题。
另见
https://security-tracker.debian.org/tracker/source-package/nodejs
https://security-tracker.debian.org/tracker/CVE-2021-22930
https://security-tracker.debian.org/tracker/CVE-2021-22939
https://security-tracker.debian.org/tracker/CVE-2021-22940
https://security-tracker.debian.org/tracker/CVE-2022-21824
插件详情
严重性: Critical
ID: 165709
文件名: debian_DLA-3137.nasl
版本: 1.4
类型: local
代理: unix
发布时间: 2022/10/5
最近更新时间: 2025/1/22
支持的传感器: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: High
基本分数: 7.5
时间分数: 5.9
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2021-22930
CVSS v3
风险因素: Critical
基本分数: 9.8
时间分数: 8.8
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
漏洞信息
CPE: p-cpe:/a:debian:debian_linux:libnode64, cpe:/o:debian:debian_linux:10.0, p-cpe:/a:debian:debian_linux:nodejs-doc, p-cpe:/a:debian:debian_linux:libnode-dev, p-cpe:/a:debian:debian_linux:nodejs
必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
可利用: true
易利用性: Exploits are available
补丁发布日期: 2022/10/5
漏洞发布日期: 2021/8/11
参考资料信息
CVE: CVE-2021-22930, CVE-2021-22939, CVE-2021-22940, CVE-2022-21824, CVE-2022-32212