检测

插件

RHEL 8：nodejs: 14 (RHSA-2023: 1742)

critical Nessus 插件 ID 174178

语言：

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

远程 Redhat Enterprise Linux 8 主机上安装的程序包受到 RHSA-2023: 1742 公告中提及的多个漏洞的影响。

- Node.js 的 glob-parent 程序包 6.0.1 之前版本允许攻击者针对封装正则表达式发动 ReDoS（正则表达式拒绝服务）攻击。(CVE-2021-35065)

- 接受任意使用者备用名称 (SAN) 类型（除非专门定义 PKI 以使用特定 SAN 类型）可导致绕过限制名称的中间体。Node.js < 12.22.9、< 14.18.3、< 16.13.2 及 < 17.3.1 的版本接受通常不会定义使用 PKI 的 URI SAN 类型。
此外，当协议允许 URI SAN 时，Node.js 未正确匹配 URI。具有此补丁的 Node.js 版本会在针对主机名检查证书时禁用 URI SAN 类型。此行为可通过 --security-revert 命令行选项恢复。 (CVE-2021-44531)

- Node.js < 12.22.9、< 14.18.3、< 16.13.2 及 < 17.3.1 的版本会将 SAN（使用者备用名称）转换为字符串格式。验证连接时，它会使用此字符串对照主机名检查对等证书。字符串格式会在证书链中使用名称限制时受到注入漏洞影响，从而允许攻击者绕过这些名称限制。Node.js 版本已修复此包含有问题的字符的转义 SAN，用以防止注入攻击。此行为可通过 --security-revert 命令行选项恢复。 (CVE-2021-44532)

- Node.js < 12.22.9、< 14.18.3、< 16.13.2 及 < 17.3.1 未正确处理多值相对可分辨名。例如，攻击者可构建包含解释为多值相对可分辨名的单值相对可分辨名的证书主题，以便注入允许绕过证书主题验证的通用名称。受影响的 Node.js 版本不接受多值相对可分辨名，因此本身不易受到此类攻击。但是，使用节点的有歧义证书主题演示的第三方代码可能容易受到攻击。 (CVE-2021-44533)

- Minimist <=1.2.5 容易受到通过 index.js 文件的 setKey() 函数（第 69-95 行）造成的原型污染漏洞影响。
(CVE-2021-44906)

- node-fetch 容易受到将敏感信息泄露给未经授权的参与者的影响 (CVE-2022-0235)

- 由于 console.table() 函数的格式化逻辑，允许将用户控制的输入传递给属性参数，同时传递一个具有至少一个属性的普通对象作为第一个参数（可能是 __proto__）是不安全的。原型污染的控制权非常有限，因为它只允许将空字符串分配给对象原型的数字键。Node.js >= 12.22.9、>= 14.18.3、>= 16.13.2 和 >= 17.3.1 的版本对已获分配这些属性的对象使用空原型。(CVE-2022-21824)

- Express 4.17.3 之前版本和其他产品中使用的 qs 6.10.3 之前的版本允许攻击者造成 Express 应用程序的 Node 进程挂起，这是因为可以使用 __ proto__ 密钥。在许多典型的 Express 用例中，未经身份验证的远程攻击者可将攻击负载置于用来访问应用程序的 URL 查询字符串中，例如 a[__proto__]=b&a[__proto__]&a[length]=100000000。此补丁已向后移植到 qs 6.9.7、6.8.3、6.7.3、6.6.1、6.5.3、6.4.1、6.3.3 和 6.2.4（因此 Express 4.17.3（其版本说明中包含 deps: [email protected]）不易受到攻击）。(CVE-2022-24999)

- 这会影响 4.1.1 之前版本的程序包 http-cache-semantics。如果服务器使用此库从请求中读取缓存策略，攻击者则可以通过向该服务器发送恶意请求标头来利用此问题。(CVE-2022-25881)

- 在 minimatch 程序包中发现漏洞。当使用特定参数调用 braceExpand 函数时，此缺陷可导致正则表达式拒绝服务 (ReDoS)，进而导致拒绝服务。 (CVE-2022-3517)

- Node v18.7.0 中 http 模块的 llhttp 解析器未正确处理非以 CLRF 结尾的标头字段，这可能会导致 HTTP 请求走私攻击。(CVE-2022-35256)

- decode-uri-component 0.2.0 版容易受到不当输入验证的影响，从而导致 DoS。(CVE-2022-38900)

- 低于 14.21.1、16.18.1、18.12.1、19.0.1 的 Node.js 版本中存在操作系统命令注入漏洞，这是因为 IsAllowedHost 检查不充分所致，IsIPAddress 在发出 DBS 请求前未正确检查 IP 地址是否无效，从而导致可轻松绕过该漏洞并允许重新绑定攻击。https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-32212 中对此问题的修复不完整，新的 CVE 将完成修复。(CVE-2022-43548)

- 在 c-ares 程序包中发现一个缺陷。ares_set_sortlist 缺少关于输入字符串有效性的检查，这可能允许任意长度的堆栈溢出。此问题可能导致拒绝服务，或对机密性和完整性造成有限的影响。(CVE-2022-4904)

- Node.js <19.6.1、<18.14.1、<16.19.1 和 <14.21.3 版存在权限提升漏洞，攻击者可利用此漏洞绕过 Node.js 中的实验性权限 (https://nodejs.org/api/permissions.html) 功能，并使用 process.mainModule.require() 访问非授权模块。这仅影响已通过 --experimental-policy 启用实验性权限选项的用户。(CVE-2023-23918)

- 低於 19.6.1、18.14.1、16.19.1、14.21.3 的 Node.js 版本中存在不受信任的搜索路径漏洞，攻击者可藉此在以提升的权限运行时進行搜索并可能加载 ICU 数据。
(CVE-2023-23920)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

http://www.nessus.org/u?e3052643

https://access.redhat.com/security/updates/classification/#important

https://bugzilla.redhat.com/show_bug.cgi?id=2040839

https://bugzilla.redhat.com/show_bug.cgi?id=2040846

https://bugzilla.redhat.com/show_bug.cgi?id=2066009

https://bugzilla.redhat.com/show_bug.cgi?id=2130518

https://bugzilla.redhat.com/show_bug.cgi?id=2134609

https://bugzilla.redhat.com/show_bug.cgi?id=2140911

https://bugzilla.redhat.com/show_bug.cgi?id=2142822

https://bugzilla.redhat.com/show_bug.cgi?id=2040856

https://bugzilla.redhat.com/show_bug.cgi?id=2040862

https://bugzilla.redhat.com/show_bug.cgi?id=2044591

https://bugzilla.redhat.com/show_bug.cgi?id=2150323

https://bugzilla.redhat.com/show_bug.cgi?id=2156324

https://bugzilla.redhat.com/show_bug.cgi?id=2165824

https://bugzilla.redhat.com/show_bug.cgi?id=2168631

https://bugzilla.redhat.com/show_bug.cgi?id=2170644

https://bugzilla.redhat.com/show_bug.cgi?id=2171935

https://bugzilla.redhat.com/show_bug.cgi?id=2172217

https://bugzilla.redhat.com/show_bug.cgi?id=2175827

https://access.redhat.com/errata/RHSA-2023:1742

插件详情

严重性: Critical

ID: 174178

文件名: redhat-RHSA-2023-1742.nasl

版本: 1.6

类型: local

代理: unix

系列: Red Hat Local Security Checks

发布时间: 2023/4/12

最近更新时间: 2024/11/7

支持的传感器: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

Vendor

Vendor Severity: Important

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 5.9

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2021-44906

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.8

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:nodejs-docs, p-cpe:/a:redhat:enterprise_linux:nodejs, p-cpe:/a:redhat:enterprise_linux:nodejs-devel, cpe:/o:redhat:rhel_eus:8.6, p-cpe:/a:redhat:enterprise_linux:nodejs-full-i18n, p-cpe:/a:redhat:enterprise_linux:nodejs-packaging, p-cpe:/a:redhat:enterprise_linux:npm, p-cpe:/a:redhat:enterprise_linux:nodejs-nodemon

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可利用: true

易利用性: Exploits are available

补丁发布日期: 2023/4/12

漏洞发布日期: 2022/1/11

参考资料信息

CVE: CVE-2021-35065, CVE-2021-44531, CVE-2021-44532, CVE-2021-44533, CVE-2021-44906, CVE-2022-0235, CVE-2022-21824, CVE-2022-24999, CVE-2022-25881, CVE-2022-3517, CVE-2022-35256, CVE-2022-38900, CVE-2022-43548, CVE-2022-4904, CVE-2023-23918, CVE-2023-23920

CWE: 119, 1321, 1333, 20, 295, 350, 400, 426, 444, 601, 863, 915

RHSA: 2023:1742