FreeBSD: node.js -- 複数の脆弱性(3eff66c5-66c9-11e7-aa1d-3d2e663cef42)
high Nessus プラグイン ID 101539
Language:
概要
リモートのFreeBSDホストに1つ以上のセキュリティ関連の更新プログラムがありません。説明
すべてのアクティブなNode.jsリリースラインと7.xラインの更新が利用可能になりました。これらには、最初の発表で特定された重要度高の脆弱性に対する修正、4.xリリースラインにおける優先度の低いもう1つのNode.jsの脆弱性、および現在のリリースラインにわたるNode.jsの依存関係に対するいくつかの低優先度の修正が含まれています。一定のハッシュテーブルシード(CVE保留中)Node.jsは、リリースされた所定のバージョンのNode.jsでHashTableのシードが一定であったため、ハッシュフラッディングリモートDoS攻撃の影響を受けやすくなっていました。これは、V8スナップショットをデフォルトで有効にして構築した結果であり、起動時に最初にランダム化されたシードが上書きされていました。この脆弱性を報告してくれたGoogle Project ZeroのJann Horn氏に感謝の意を表します。これは重要度高の脆弱性であり、7.xラインだけでなく、すべてのアクティブなリリースライン(4.x、6.x、8.x)に適用されます。数値承認オプション付きのhttp.getは、初期化されていないバッファを作成します。http.get()で使用されるオプションオブジェクトのauthフィールドを番号に設定できるアプリケーションコードにより、初期化されていないバッファが認証文字列として作成/使用される可能性があります。
これは重要度が低い欠陥であり、4.xリリースラインにのみ適用されます。
ソリューション
影響を受けるパッケージを更新してください。参考資料
https://nodejs.org/en/blog/vulnerability/july-2017-security-releases/
プラグインの詳細
深刻度: High
ID: 101539
ファイル名: freebsd_pkg_3eff66c566c911e7aa1d3d2e663cef42.nasl
バージョン: 3.3
タイプ: local
公開日: 2017/7/14
更新日: 2021/1/4
サポートされているセンサー: Nessus
脆弱性情報
CPE: p-cpe:/a:freebsd:freebsd:node, p-cpe:/a:freebsd:freebsd:node4, p-cpe:/a:freebsd:freebsd:node6, cpe:/o:freebsd:freebsd
必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
パッチ公開日: 2017/7/12
脆弱性公開日: 2017/6/27