Debian dla-4242libjs-anglejs - 安全更新

medium Nessus 插件 ID 242412

语言：

简介

远程 Debian 主机上缺少一个或多个与安全相关的更新。

描述

远程 Debian 11 主机上存在安装的程序包该程序包受到 dla-4242 公告中提及的多个漏洞的影响。

- ------------------------------------------------- ------------------------ Debian LTS 公告 DLA-4242-1 [email protected] https://www.debian.org/lts/security/Bastien Roucaris 2025 年 7 月 20 日 https://wiki.debian.org/LTS
- -------------------------------------------------------------------------

程序包angle.js 版本1.8.3-1+deb12u1~deb11u1 CVE ID CVE-2022-25844 CVE-2023-26116 CVE-2023-26117 CVE-2023-26118 CVE-2024-8372 CVE-2024-8373 CVE-2024-21490 CVE-2025-0716 CVE-2025-2336 Debian 缺陷 #1014779 #1036694 #1088804 #1088805 #1104485

流行的 JavaScript 框架 Angular.js 受到多种漏洞的影响。

CVE-2022-25844

通过提供自定义区域设置规则发现一个正则表达式拒绝服务漏洞 (ReDoS)可以为 NUMBER_FORMATS.PATTERNS[1].posPre 的 posPre: ' '.repeat() 中的参数分配非常高的值

CVE-2023-26116

由于使用不安全的正则表达式因此通过 angle.copy() 实用工具函数发现正则表达式拒绝服务 (ReDoS)。

CVE-2023-26117

由于使用不安全的正则表达式通过 $resource 服务发现正则表达式拒绝服务 (ReDoS)。

CVE-2023-26118

由于在 input[url] 功能中使用不安全的正则表达式通过 <input type=url> 元素发现正则表达式拒绝服务 (ReDoS)。
可能通过精心构建的大型输入利用此漏洞，这可导致灾难性回溯。

CVE-2024-8372

AngularJS 中对“srcset”属性值的未正确审查允许攻击者绕过常见图像源限制其也可导致某种形式的内容欺骗

CVE-2024-8373

在 AngularJS 中未正确审查 <source> HTML 元素中的 [srcset] 属性值可让攻击者绕过常见图像源限制其也可导致某种形式的内容伪造

CVE-2024-21490

用于拆分 ng-srcset 指令值的正则表达式容易受到因回溯导致的超线性运行时的影响。通过大量精心构建的输入这可导致灾难性的回溯并造成拒绝服务。

CVE-2025-0716

在 AngularJS 中未正确审查“<image>”SVG 元素中的 'href' 和 'xlink:href' 属性的值允许攻击者绕过常见图像源限制。这可能导致一种形式的内容欺骗。

CVE-2025-2336

已发现在 ngSanitize 模块中存在不当审查漏洞可让攻击者绕过通常应用于图像元素的图像来源限制。此绕过可导致某种形式的内容欺骗。同样地, 应用程序的性能和行为可能会受到使用过大或过慢加载图像的负面影响。

对于 Debian 11 Bullseye这些问题已在 1.8.3-1+deb12u1~deb11u1 版本中修复。

我们建议您升级 angular.js 程序包。

如需 angle.js 的详细安全状态请参阅其安全跟踪页面网址
https://security-tracker.debian.org/tracker/angular.js

有关 Debian LTS 安全公告、如何将这些更新应用到系统以及常见问题解答的更多信息，请访问以下网址：https://wiki.debian.org/LTS

Tenable 已直接从 Debian 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。