Rocky Linux 9nodejs 和 nodejs-nodemon (RLSA-2022:6595)

critical Nessus 插件 ID 171017

语言：

简介

远程 Rocky Linux 主机缺少一个或多个安全更新。

描述

远程 Rocky Linux 9 主机上存在安装的程序包该程序包受到公告 RLSA-2022:6595 中提及的多个漏洞的影响。

- 在工作空间中运行时或使用工作空间标记（即“--workspaces”、“--workspace=<name>”）运行时，npm pack 会忽略根级别的 .gitignore 和 .npmignore 文件排除指令。从 v7.9.0 和 v7.13.0 起，所有已在工作空间内运行“npm pack”或“npm publish”的用户都可能受到影响，以及已将文件发布到他们不打算包含的 npm 注册表中的用户也会受影响。用户应升级到 npm v8.11.0 的最新已修补版本请运行 npm i -g npm@latest 。Node.js 版本 v16.15.1、v17.19.1 和 v18.3.0 包含修补后的 v8.11.0 版 npm。(CVE-2022-29244)

- 这会影响 1.3.6 之前的 ini 程序包。如果攻击者向应用程序提交恶意 INI 文件，该应用程序使用 ini.parse 进行解析，则恶意文件将污染该应用程序上的原型。此问题可根据环境被进一步利用。 (CVE-2020-7788)

- 这会影响 5.1.2 之前版本的 glob-parent 程序包。enclosure regex 之前用于检查以包含路径分隔符的 enclosure 结尾的字符串。(CVE-2020-28469)

- ansi-regex 容易受到低效正则表达式复杂性的影响 (CVE-2021-3807)

- 在 Node.js 4.5.1 之前版本、Node.js 5.x 之前版本 5.3.1 以及 Node.js 6.0.1 之前版本 6.x 的 normalize-url 程序包中存在 ReDoS（正则表达式拒绝服务）问题，原因是其对 data: URL 具有指数级性能。
(CVE-2021-33502)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。