检测

Amazon Linux 2023:nodejs20、nodejs20-devel、nodejs20-full-i18n (ALAS2023-2024-544)

critical Nessus 插件 ID 191606

语言:

简介

远程 Amazon Linux 2023 主机缺少安全更新。

描述

因此,该软件受到 ALAS2023-2024-544 公告中提及的多个漏洞影响。

 2024-03-13:已将 CVE-2024-22025 添加到此公告中。

 Node.js 权限模型的文档中并未明确说明通配符应仅用于文件路径的最后一个字符。这一误导性的文档影响了所有在当前发布版本中使用实验性权限模型的用户:20.x 和 21.x。请注意,在此 CVE 发布时,权限模型仍是 Node.js 的一项实验性功能。(CVE-2024-21890)

 注意:https://nodejs.org/en/blog/vulnerability/february-2024-security-releases/#multiple-permission-model-bypasses-due-to-improper-path-traversal-sequence-sanitization-cve-2024-21891---medium (CVE-2024-21891)

 在 Node.js 中发现一个缺陷。在 Linux 上,当进程以提升的权限运行时,如果非特权用户可能已设置了某些环境变量,Node.js 就会忽略这些变量,而 CAP_NET_BIND_SERVICE 是例外。由于此异常实现中存在一个缺陷,即使设置了其他功能,Node.js 也会错误应用此异常。这样一来,非特权用户或许会注入继承了进程提升的权限的代码。(CVE-2024-21892)

 注意:https://nodejs.org/en/blog/vulnerability/february-2024-security-releases/#path-traversal-by-monkey-patching-buffer-internals-cve-2024-21896---high (CVE-2024-21896)

 注意:https://nodejs.org/en/blog/vulnerability/february-2024-security-releases/#setuid-does-not-drop-all-privileges-due-to-io_uring-cve-2024-22017---high (CVE-2024-22017)

 在 Node.js 中发现一个缺陷,因区块扩展字节缺少保护所导致。服务器可能通过单个连接读取数量不受限制的字节,导致攻击者可以发送特别构建的 HTTP 请求(利用分块编码的形式),从而导致资源耗尽和拒绝服务。
 (CVE-2024-22019)

 注意:https://nodejs.org/en/blog/release/v18.19.1NOTE:
 https://github.com/nodejs/node/commit/f31d47e135973746c4f490d5eb635eded8bb3dda (v18.x) 注意:
 https://github.com/nodejs/node/commit/9052ef43dc2d1b0db340591a9bc9e45a25c01d90(主系统)(CVE-2024-22025)

 Undici 是专为 Node.js 从头编写的 HTTP/1.1 客户端。Undici 已经清除了跨源重定向的授权标头,但没有清除 `Proxy-Authentication` 标头。已在 5.28.3 和 6.6.1 中修补此问题。建议所有用户都进行升级。目前尚无针对此漏洞的变通方案。(CVE-2024-24758)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

运行“dnf update nodejs20 --releasever 2023.3.20240304”以更新系统。

另见

https://alas.aws.amazon.com/AL2023/ALAS-2024-544.html

https://alas.aws.amazon.com/faqs.html

https://alas.aws.amazon.com/cve/html/CVE-2024-21890.html

https://alas.aws.amazon.com/cve/html/CVE-2024-21891.html

https://alas.aws.amazon.com/cve/html/CVE-2024-21892.html

https://alas.aws.amazon.com/cve/html/CVE-2024-21896.html

https://alas.aws.amazon.com/cve/html/CVE-2024-22017.html

https://alas.aws.amazon.com/cve/html/CVE-2024-22019.html

https://alas.aws.amazon.com/cve/html/CVE-2024-22025.html

https://alas.aws.amazon.com/cve/html/CVE-2024-24758.html

插件详情

严重性: Critical

ID: 191606

文件名: al2023_ALAS2023-2024-544.nasl

版本: 1.5

类型: local

代理: unix

发布时间: 2024/3/6

最近更新时间: 2025/4/3

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.4

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2024-21896

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:amazon:linux:v8-11.3-devel, p-cpe:/a:amazon:linux:nodejs20-debugsource, p-cpe:/a:amazon:linux:nodejs20-devel, p-cpe:/a:amazon:linux:nodejs20, p-cpe:/a:amazon:linux:nodejs20-npm, p-cpe:/a:amazon:linux:nodejs20-libs, p-cpe:/a:amazon:linux:nodejs20-debuginfo, p-cpe:/a:amazon:linux:nodejs20-full-i18n, p-cpe:/a:amazon:linux:nodejs20-libs-debuginfo, p-cpe:/a:amazon:linux:nodejs20-docs, cpe:/o:amazon:linux:2023

必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2024/2/29

漏洞发布日期: 2024/2/14

参考资料信息

CVE: CVE-2024-21890, CVE-2024-21891, CVE-2024-21892, CVE-2024-21896, CVE-2024-22017, CVE-2024-22019, CVE-2024-22025, CVE-2024-24758