Debian DLA-3291-1:node-object-path - LTS 安全更新
critical Nessus 插件 ID 170884
语言:
简介
远程 Debian 主机上缺少一个或多个与安全性相关的更新。描述
远程 Debian 10 主机上安装的程序包受到 dla-3291 公告中提及的多个漏洞影响。- 在“object-path” 0.11.4 及其之前版本中发现一个影响“set()”方法的原型污染漏洞。该漏洞仅限于“includeInheritedProps”模式(如果使用版本 0.11.0 及更高版本 ),必须通过创建“object-path”的新实例并设置“includeInheritedProps: true“选项,或使用默认的“withInheritedProps”实例来显式启用该模式。如果使用 0.11.0 及更高版本,则默认操作模式不受此漏洞的影响。在低于 0.11.0 的版本中,任何使用“set()”的方法都容易受到攻击。此问题已在 object-path 0.11.5 版本中修复 。作为变通方案,不要使用“includeInheritedProps: true”选项,如果使用 0.11.0 或更高版本,则不要使用“withInheritedProps”实例。(CVE-2020-15256)
- 这会影响 0.11.6 之前的 object-path 程序包。当路径参数中使用的路径组件为数组时,类型混淆漏洞可导致 CVE-2020-15256 绕过。特别是,如果 currentPath 为 ['__proto__'],则条件 currentPath === '__proto__' 将返回 false。这是因为当操作数的类型不同时,=== 运算符会一律返回 false。(CVE-2021-23434)
- object-path 容易受到对象原型属性修改控制不当(“原型污染”)漏洞的影响 (CVE-2021-3805)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
升级 node-object-path 程序包。对于 Debian 10 buster,已在 0.11.4-2+deb10u2 版本中修复这些问题。
另见
http://www.nessus.org/u?d109f415
https://security-tracker.debian.org/tracker/CVE-2020-15256
https://security-tracker.debian.org/tracker/CVE-2021-23434
插件详情
严重性: Critical
ID: 170884
文件名: debian_DLA-3291.nasl
版本: 1.2
类型: local
代理: unix
发布时间: 2023/1/31
最近更新时间: 2025/1/22
支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: High
基本分数: 7.5
时间分数: 5.9
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2021-23434
CVSS v3
风险因素: Critical
基本分数: 9.8
时间分数: 8.8
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
CVSS 分数来源: CVE-2020-15256
漏洞信息
CPE: cpe:/o:debian:debian_linux:10.0, p-cpe:/a:debian:debian_linux:node-object-path
必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
可利用: true
易利用性: Exploits are available
补丁发布日期: 2023/1/29
漏洞发布日期: 2020/10/19