检测

Amazon Linux 2023:nodejs20、nodejs20-devel、nodejs20-full-i18n (ALAS2023-2026-1577)

medium Nessus 插件 ID 306226

语言:

简介

远程 Amazon Linux 2023 主机缺少安全更新。

描述

因此,该软件受到 ALAS2023-2026-1577 公告中提及的多个漏洞影响。

 Node.js HTTP 请求处理中的缺陷在收到带有名为 __proto__ 的标头的请求且应用程序访问 req.headersDistinct 时可造成未捕获类型错误。

 发生这种情况时,dest[__proto__] 会解析为 Object.prototype,而非 undefined,从而导致在非数组中调用 .push()。此异常会在属性 getter 内同步抛出,并且无法被错误事件监听程序拦截,即若未将每个 req.headersDistinct 访问封装在 try/catch 中,便无法处理此异常。

 此漏洞会影响 20.x、 22.x、 24.x和 v25.x 中的所有 Node.js HTTP 服务器

 注意:https://nodejs.org/en/blog/vulnerability/march-2026-security-releases#denial-of-service-via-__proto__-header-name-in-reqheadersdistinct-uncaught-typeerror-crashes-nodejs-process-cve-2026-21710---high (CVE-2026-21710)

 Node.js 中存在一个缺陷 HMAC 验证在验证用户提供的签名时使用非常量时间比较可能会泄露与匹配字节数成正比的计时信息。在某些可以进行高分辨率时序测量的威胁模型下攻击者可利用此行为作为时序预言来推断 HMAC 值。

 Node.js 已提供在代码库中别处使用的时序安全比较原语表明这是一种疏忽而非有意的设计决策。

 此漏洞影响 20.x、 22.x、 24.x和 25.x。

 注意 https://nodejs.org/en/blog/vulnerability/march-2026-security-releases#timing-side-channel-in-hmac-verification-via-memcmp-in-crypto_hmaccc-leads-to-potential-mac-forgery-cve-2026-21713---medium(CVE-2026-21713)

 客户端在流 0连接级别上发送 WINDOW_UPDATE 帧并导致流量控制窗口超过 231-1规定的最大值时Node.js HTTP/2 服务器中会发生内存泄露。服务器正确地发送了 GOAWAY 帧,但从未清除 Http2Session 对象。

 此漏洞会影响 Node.js 20、22、24 和 25 中的 HTTP2 用户。

 注意 https://nodejs.org/en/blog/vulnerability/march-2026-security-releases#memory-leak-in-nodejs-http2-server-via-window_update-on-stream-0-leads-to-resource-exhaustion-cve-2026-21714---medium(CVE-2026-21714)

 Node.js 权限模型文件系统执行中的缺陷使 fs.realpathSync.native() 缺少所需的读取权限检查而所有类似的文件系统函数都可以正确执行这些检查。因此以受限制 [ --permission 的 --allow-fs-read 下运行的代码仍可使用 fs.realpathSync.native() 检查文件存在性、解析符号链接目标以及枚举允许的目录之外的文件系统路径。此漏洞会影响 20.x、 22.x、使用权限模型的 24.x和 25.x 进程其中特意限制 --allow-fs-read 。

 注意:https://nodejs.org/en/blog/vulnerability/march-2026-security-releases#permission-model-bypass-in-realpathsyncnative-allows-file-existence-disclosure-cve-2026-21715---low (CVE-2026-21715)

 对 CVE-2024-36137 的修复不完整导致 Promise API 中的 FileHandle.chmod() 和 FileHandle.chown() 缺少必要的权限检查而它们基于回调的同等项fs.fchmod()、fs.fchown()已得到正确修补。

 因此在 --permission 下运行 --allow-fs-write 受限的代码仍可使用基于承诺的 FileHandle 方法修改已打开文件描述符上的文件权限和所有权从而绕过预期写入限制。

 此漏洞会影响使用特意限制 --allow-fs-write 的权限模型的 20.x、 22.x、 24.x和 25.x 进程。

 注意 https://nodejs.org/en/blog/vulnerability/march-2026-security-releases#cve-2024-36137-patch-bypass---filehandlechmodchown-cve-2026-21716---low (CVE-2026-21716)

 V8 字符串哈希机制中的一个缺陷可导致类似整数的字符串被哈希为其数值从而轻松预测哈希冲突。通过构建导致 V8 内部字符串表中发生很多此类冲突的请求攻击者会显着降低 Node.js 进程的性能。

 最常见的触发因素是调用攻击者控制的输入中的 JSON.parse() 的任何端点,因为 JSON 解析会自动将短字符串内部化到受影响的哈希表中。

 此漏洞影响 20.x、 22.x、 24.x和 25.x。

 注意:https://nodejs.org/en/blog/vulnerability/march-2026-security-releases#hashdos-in-v8-cve-2026-21717---medium (CVE-2026-21717)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

运行“dnf update nodejs20 --releasever 2023.11.20260413”或“dnf update --advisory ALAS2023-2026-1577 --releasever 2023.11.20260413”以更新系统。

另见

https://alas.aws.amazon.com//AL2023/ALAS2023-2026-1577.html

https://alas.aws.amazon.com/faqs.html

https://explore.alas.aws.amazon.com/CVE-2026-21710.html

https://explore.alas.aws.amazon.com/CVE-2026-21713.html

https://explore.alas.aws.amazon.com/CVE-2026-21714.html

https://explore.alas.aws.amazon.com/CVE-2026-21715.html

https://explore.alas.aws.amazon.com/CVE-2026-21716.html

https://explore.alas.aws.amazon.com/CVE-2026-21717.html

插件详情

严重性: Medium

ID: 306226

文件名: al2023_ALAS2023-2026-1577.nasl

版本: 1.1

类型: Local

代理: unix

发布时间: 2026/4/13

最近更新时间: 2026/4/13

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 4.4

CVSS v2

风险因素: Medium

基本分数: 5.4

时间分数: 4.2

矢量: CVSS2#AV:N/AC:H/Au:N/C:C/I:N/A:N

CVSS 分数来源: CVE-2026-21713

CVSS v3

风险因素: Medium

基本分数: 5.9

时间分数: 5.3

矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:amazon:linux:v8-11.3-devel, p-cpe:/a:amazon:linux:nodejs20-debugsource, p-cpe:/a:amazon:linux:nodejs20-devel, p-cpe:/a:amazon:linux:nodejs20, p-cpe:/a:amazon:linux:nodejs20-npm, p-cpe:/a:amazon:linux:nodejs20-libs, p-cpe:/a:amazon:linux:nodejs20-debuginfo, p-cpe:/a:amazon:linux:nodejs20-full-i18n, p-cpe:/a:amazon:linux:nodejs20-libs-debuginfo, p-cpe:/a:amazon:linux:nodejs20-docs, cpe:/o:amazon:linux:2023

必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2026/4/13

漏洞发布日期: 2026/3/24

参考资料信息

CVE: CVE-2026-21710, CVE-2026-21713, CVE-2026-21714, CVE-2026-21715, CVE-2026-21716, CVE-2026-21717