检测

Rocky Linux 8nodejs:16 (RLSA-2021:5171)

critical Nessus 插件 ID 184727

语言:

简介

远程 Rocky Linux 主机缺少一个或多个安全更新。

描述

远程 Rocky Linux 8 主机上存在安装的程序包该程序包受到公告 RLSA-2021:5171 中提及的多个漏洞的影响。

 - 这会影响 5.1.2 之前版本的 glob-parent 程序包。enclosure regex 之前用于检查以包含路径分隔符的 enclosure 结尾的字符串。(CVE-2020-28469)

 - 这会影响 1.3.6 之前的 ini 程序包。如果攻击者向应用程序提交恶意 INI 文件,该应用程序使用 ini.parse 进行解析,则恶意文件将污染该应用程序上的原型。此问题可根据环境被进一步利用。 (CVE-2020-7788)

 - 解析器接受冒号前的标头名称后带有空格 (SP) 的请求。这可导致低于 2.1.4 版和 6.0.6 版的 llhttp 发生 HTTP 请求走私问题。(CVE-2021-22959)

 - 在低于 2.1.4 版和 6.0.6 版的 llhttp 中,parse 函数会在解析分块请求正文时忽略区块扩展。在某些情况下,这会导致 HTTP 请求走私 (HRS)。(CVE-2021-22960)

 - 在 Node.js 4.5.1 之前版本、Node.js 5.x 之前版本 5.3.1 以及 Node.js 6.0.1 之前版本 6.x 的 normalize-url 程序包中存在 ReDoS(正则表达式拒绝服务)问题,原因是其对 data: URL 具有指数级性能。
 (CVE-2021-33502)

 - ansi-regex 容易受到低效正则表达式复杂性的影响 (CVE-2021-3807)

 - json-schema 容易受到受控不当修改对象原型属性(“Prototype Pollution”)的影响 (CVE-2021-3918)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://errata.rockylinux.org/RLSA-2021:5171

https://bugzilla.redhat.com/show_bug.cgi?id=1907444

https://bugzilla.redhat.com/show_bug.cgi?id=1945459

https://bugzilla.redhat.com/show_bug.cgi?id=1964461

https://bugzilla.redhat.com/show_bug.cgi?id=2007557

https://bugzilla.redhat.com/show_bug.cgi?id=2014057

https://bugzilla.redhat.com/show_bug.cgi?id=2014059

https://bugzilla.redhat.com/show_bug.cgi?id=2024702

插件详情

严重性: Critical

ID: 184727

文件名: rocky_linux_RLSA-2021-5171.nasl

版本: 1.0

类型: local

发布时间: 2023/11/6

最近更新时间: 2023/11/6

支持的传感器: Nessus Agent, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 6.2

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2021-3918

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 9.1

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:F/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:rocky:linux:nodejs-docs, p-cpe:/a:rocky:linux:nodejs-packaging, p-cpe:/a:rocky:linux:nodejs-devel, p-cpe:/a:rocky:linux:nodejs, p-cpe:/a:rocky:linux:nodejs-nodemon, p-cpe:/a:rocky:linux:nodejs-full-i18n, p-cpe:/a:rocky:linux:nodejs-debugsource, cpe:/o:rocky:linux:8, p-cpe:/a:rocky:linux:npm, p-cpe:/a:rocky:linux:nodejs-debuginfo

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/RockyLinux/release, Host/RockyLinux/rpm-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2021/12/15

漏洞发布日期: 2020/12/11

参考资料信息

CVE: CVE-2020-28469, CVE-2020-7788, CVE-2021-22959, CVE-2021-22960, CVE-2021-33502, CVE-2021-3807, CVE-2021-3918