Debian dla-3886:libnode-dev - 安全更新
high Nessus 插件 ID 207274
语言:
简介
远程 Debian 主机上缺少一个或多个与安全性相关的更新。描述
远程 Debian 11 主机上安装的多个程序包受到 dla-3886 公告中提及的多个漏洞影响。- ------------------------------------------------------------------------- Debian LTS 公告 DLA-3886-1 [email protected] https://www.debian.org/lts/security/Bastien Roucaris 2024 年 9 月 14 日 https://wiki.debian.org/LTS
- -------------------------------------------------------------------------
程序包:nodejs 版本:12.22.12~dfsg-1~deb11u5 CVE ID:CVE-2023-30589 CVE-2023-30590 CVE-2023-32559 CVE-2023-46809 CVE-2024-22019 CVE-2024-22025 CVE-2024-27982 CVE-2024-27983
在 Web 浏览器之外(服务器端)执行 JavaScript 代码的 JavaScript 运行时环境 Node.js 易受攻击。
CVE-2023-30589
Node http 模块中的 llhttp 解析器未严格使用 CRLF 序列来分隔 HTTP 请求。这可导致 HTTP 请求走私 (HRS) 攻击。CR 字符(无 LF)完全可以在 llhttp 解析器中分隔 HTTP 标头字段。
根据 RFC7230 第 3 部分,只应使用 CRLF 序列分隔每个标头字段。
CVE-2023-30590
crypto.createDiffieHellman() 返回的 generateKeys() API 函数仅生成缺失(或过时)的密钥,即此函数只会在尚未设置任何密钥时生成私钥,但也需要在调用 setPrivateKey() 后使用此函数计算相应的公钥。不过,文档中已说明此 API 调用会生成私有和公共 Diffie-Hellman 密钥值。记录的行为与实际行为存在很大差异,而这种差异可轻易导致安全问题。
CVE-2023-32559
实验性策略机制中存在权限提升漏洞。
使用已弃用的 API“process.binding()”可通过要求内部模块绕过策略机制,并最终利用“process.binding('spawn_sync')”运行“policy.json”文件中定义的限制之外的任意代码
CVE-2023-46809
如果在使用私钥执行 RSA 解密时允许进行 PCKS #1 v1.5 填充,Node.js 版本则易受 Marvin 攻击。
CVE-2024-22019
Node.js HTTP 服务器中存在一个漏洞,攻击者可利用此漏洞,发送特别构建、具有分块编码的 HTTP 请求,从而发起资源耗尽和拒绝服务 (DoS) 攻击。
服务器会从单个连接读取无限数量的字节,利用区块扩展字节限制的缺陷。
此问题可造成 CPU 和网络带宽耗尽,进而绕过超时和正文大小限制等标准防护措施。
CVE-2024-22025
已发现 Node.js 中存在一个漏洞,当使用 fetch() 函数从不受信任的 URL 检索内容时,攻击者可利用该漏洞,通过资源耗尽发动拒绝服务 (DoS) 攻击。
此漏洞源于 Node.js 中的 fetch() 函数始终对 Brotli 进行解码,从而导致从不受信任的 URL 检索内容时,攻击者可造成资源耗尽。
控制传递到 fetch() 的 URL 的攻击者可利用此漏洞来耗尽内存,而取决于系统配置情况,这可能导致进程终止。
CVE-2024-27982
不规范标头可导致 HTTP 请求走私。特别是,如果在 content-length 标头前面放置一个空格,系统则无法正确解释该空格,导致攻击者可以在第一个请求的正文中走私第二个请求。
CVE-2024-27983
攻击者可通过发送少量内部带有少量 HTTP/2 框架的 HTTP/2 框架数据包,使 Node.js HTTP/2 服务器完全不可用。如果采用 HTTP/2 CONTINUATION 框架的标头被发送到服务器,即使被重置,nghttp2 内存中仍可能留下一些数据;如果 TCP 连接被触发 Http2Session 析构函数的客户端突然关闭并且标头框架仍在处理中(存储在内存中),则可能导致争用条件。
对于 Debian 11 bullseye,已在版本 12.22.12~dfsg-1~deb11u5 中修复这些问题。
我们建议您升级 nodejs 程序包。
如需了解 nodejs 的详细安全状态,请参阅其安全跟踪页面:
https://security-tracker.debian.org/tracker/nodejs
有关 Debian LTS 安全公告、如何将这些更新应用到系统以及常见问题解答的更多信息,请访问以下网址:https://wiki.debian.org/LTS
Tenable 已直接从 Debian 安全公告中提取上述描述块。
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
升级 libnode-dev 程序包。另见
https://security-tracker.debian.org/tracker/source-package/nodejs
https://security-tracker.debian.org/tracker/CVE-2023-30589
https://security-tracker.debian.org/tracker/CVE-2023-30590
https://security-tracker.debian.org/tracker/CVE-2023-32559
https://security-tracker.debian.org/tracker/CVE-2023-46809
https://security-tracker.debian.org/tracker/CVE-2024-22019
https://security-tracker.debian.org/tracker/CVE-2024-22025
https://security-tracker.debian.org/tracker/CVE-2024-27982
插件详情
严重性: High
ID: 207274
文件名: debian_DLA-3886.nasl
版本: 1.1
类型: local
代理: unix
发布时间: 2024/9/14
最近更新时间: 2024/9/14
支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: High
基本分数: 7.8
时间分数: 6.1
矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:C/A:N
CVSS 分数来源: CVE-2023-30590
CVSS v3
风险因素: High
基本分数: 7.5
时间分数: 6.7
矢量: CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
CVSS 分数来源: CVE-2023-32559
漏洞信息
CPE: cpe:/o:debian:debian_linux:11.0, p-cpe:/a:debian:debian_linux:libnode72, p-cpe:/a:debian:debian_linux:nodejs-doc, p-cpe:/a:debian:debian_linux:libnode-dev, p-cpe:/a:debian:debian_linux:nodejs
必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
可利用: true
易利用性: Exploits are available
补丁发布日期: 2024/9/14
漏洞发布日期: 2023/6/20
参考资料信息
CVE: CVE-2023-30589, CVE-2023-30590, CVE-2023-32559, CVE-2023-46809, CVE-2024-22019, CVE-2024-22025, CVE-2024-27982, CVE-2024-27983