FreeBSD:Node.js -- 複数の脆弱性(c97a940b-c392-11e9-bb38-000d3ab229d6)(0-Length Headers Leak)(Data Dribble)(Empty Frames Flood)(Internal Data Buffering)(Ping Flood)(Reset Flood)(Resource Loop)(Settings Flood)

high Nessus プラグイン ID 128043

言語:

New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモートのFreeBSDホストに1つ以上のセキュリティ関連の更新プログラムがありません。

説明

Node.js による報告:

Node.jsは、他の多数のHTTP/2実装と同様に、サービス拒否攻撃に対して脆弱であることが判明しました。詳細については、https://github.com/Netflix/security-bulletins/blob/master/advisories/t hird-party/2019-002.mdを参照してください。

更新は、すべてのアクティブなNode.jsリリースラインで利用可能になりました(遅延していたNode.js 8.xのためのLinux ARMv6ビルドを含む)。

Node.jsの全ユーザーは、早急に以下のバージョンにアップグレードすることを推奨します。修正済みの脆弱性の影響: Node.js 8(LTS「Carbon」)、Node.js 10(LTS「Dubnium」)、Node.js 12(現行)のすべてのバージョンは、以下に対して脆弱です。

- CVE-2019-9511「Data Dribble」: 攻撃者が、複数のストリームにわたる指定されたリソースから大量のデータをリクエストします。彼らはウィンドウサイズとストリーム優先度を操作して、1バイトチャンクにデータをキューイングするようサーバーを強制します。このデータを効率的にキューに入れる方法によって、CPU、メモリ、またはその両方が過剰に消費され、サービス拒否を引き起こす可能性があります。

- CVE-2019-9512「Ping Flood」: 攻撃者はHTTP/2ピアに継続的にpingを送信し、ピアに応答の内部キューを作成させます。
このデータを効率的にキューに入れる方法によって、CPU、メモリ、またはその両方が過剰に消費され、サービス拒否を引き起こす可能性があります。

- CVE-2019-9513「Resource Loop」: 攻撃者が複数のリクエストストリームを作成し、優先度ツリーが大幅に変更されるような方法でストリームの優先度を常に入れ替えます。これによりCPUが過剰に消費され、サービス拒否を引き起こす可能性があります。

- CVE-2019-9514「Reset Flood」: 攻撃者は多数のストリームを開き、各ストリームで、ピアからRST_STREAMフレームのストリームを要求する無効なリクエストを送信します。ピアがRST_STREAMフレームをキューに入れる方法によって、メモリ、CPU、またはその両方が過剰に消費され、サービス拒否を引き起こす可能性があります。

- CVE-2019-9515「Settings Flood」: 攻撃者がSETTINGSフレームのストリームをピアに送信します。RFCではピアがSETTINGSフレームごとに1つの確認応答で返信することが要求されているため、空のSETTINGSフレームの動作はpingとほぼ同等です。このデータを効率的にキューに入れる方法によって、CPU、メモリ、またはその両方が過剰に消費され、サービス拒否を引き起こす可能性があります。

- CVE-2019-9516「0-Length Headers Leak」: 攻撃者が、長さゼロのヘッダー名と長さゼロのヘッダー値を持つヘッダーのストリームと、場合によっては1バイト以上のヘッダーにコード化されたHuffmanを送信します。実装によっては、メモリをこれらのヘッダーに割り当て、セッションが終了するまでその割り当てを維持します。これによりメモリが過剰に消費され、サービス拒否を引き起こす可能性があります。

- CVE-2019-9517「Internal Data Buffering」: 攻撃者はHTTP/2ウィンドウを開き、ピアが制約なしで送信できるようにしますが、TCPウィンドウが閉じたままのため、ピアは実際に(多くの)バイトを送信することができません。その後、攻撃者は大きな応答オブジェクトに対するリクエストのストリームを送信します。サーバーが応答をキューする方法によって、メモリ、CPU、またはその両方が過剰に消費され、サービス拒否を引き起こす可能性があります。

- CVE-2019-9518「Empty Frames Flood」: 攻撃者が、空のペイロードを含み、end-of-streamフラグを含まないフレームのストリームを送信します。これらのフレームは、DATA、HEADERS、CONTINUATION、またはPUSH_PROMISEです。ピアは、帯域幅の攻撃のために各フレームの処理において不均衡な時間を費やします。これによりCPUが過剰に消費され、サービス拒否を引き起こす可能性があります。(GoogleのPiotr Sikora氏により発見されました)

ソリューション

影響を受けるパッケージを更新してください。

関連情報

https://nodejs.org/en/blog/vulnerability/aug-2019-security-releases/

http://www.nessus.org/u?27301aed

プラグインの詳細

深刻度: High

ID: 128043

ファイル名: freebsd_pkg_c97a940bc39211e9bb38000d3ab229d6.nasl

バージョン: 1.3

タイプ: local

公開日: 2019/8/21

更新日: 2020/1/2

依存関係: ssh_get_info.nasl

リスク情報

VPR

リスクファクター: Medium

スコア: 4.4

CVSS v2

リスクファクター: High

Base Score: 7.8

Temporal Score: 5.8

ベクトル: AV:N/AC:L/Au:N/C:N/I:N/A:C

現状ベクトル: E:U/RL:OF/RC:C

CVSS v3

リスクファクター: High

Base Score: 7.5

Temporal Score: 6.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

現状ベクトル: E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:freebsd:freebsd:node, p-cpe:/a:freebsd:freebsd:node10, p-cpe:/a:freebsd:freebsd:node8, cpe:/o:freebsd:freebsd

必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2019/8/21

脆弱性公開日: 2019/8/16

参照情報

CVE: CVE-2019-9511, CVE-2019-9512, CVE-2019-9513, CVE-2019-9514, CVE-2019-9515, CVE-2019-9516, CVE-2019-9517, CVE-2019-9518