FreeBSD：Node.js -- 2020年6月のセキュリティリリース（11fcfa8f-ac64-11ea-9dab-000d3ab229d6）

high Nessus プラグイン ID 137382

Language:

概要

リモートのFreeBSDホストに1つ以上のセキュリティ関連の更新プログラムがありません。

説明

Node.js レポート：

以下の問題について、すべてのサポート対象Node.jsリリースラインで更新が利用可能になりました。TLSセッションの再利用により、ホスト証明書の検証バイパスが発生する可能性があります（重要度高）（CVE-2020-8172）「secureConnect」イベントの前に「セッション」イベントが発生する可能性があります。これは許可されるべきではありません。接続が認証に失敗する可能性があるためです。保存された場合、後でセッションチケットで認証された接続が確立される可能性があります。注意: httpsエージェントはセッションをキャッシュするため、これに対して脆弱です。

「session」イベントは現在、「secureConnect」イベントの後でのみ、認証された接続に対してのみ発行されます。HTTP/2の大きな設定フレームのDoS（重要度低）（CVE-2020-11080）不当に大きなHTTP/2 SETTINGSフレームを受信すると、すべての設定を処理するためにCPUが100％消費され、他のすべてのアクティビティが完了するまでブロックされる可能性があります。

HTTP/2セッションのフレームは、デフォルトで32個の設定に制限されています。これは必要に応じて、maxSettingsオプションを使用して構成できます。
napi_get_value_string_*()により、さまざまな種類のメモリ破損が発生する可能性があります（重要度高）（CVE-2020-8174）napi_get_value_string_latin1()、napi_get_value_string_utf8()、またはnapi_get_value_string_utf16()をNULLでないbufおよび0のbufsizeで呼び出すと、文字列値全体がbufに書き込まれます。これにより、バッファの長さをオーバーランする可能性があります。

悪用は報告されておらず、困難である可能性がありますが、以下のことが推奨されます:

- LTS Node.jsバージョンの全ユーザーは、このセキュリティポストで発表されたバージョンに更新する必要があります。これにより、事前構築されていないアドオンの問題が対処されます。

- EOL Node.jsバージョンをサポートしたり、N-APIを内部的にサポートしなかったNode.jsのバージョンに対して構築したりするメンテナーは、この発表のすぐ後にリリースされる新しいバージョンのnode-addon-api 1.xおよび 2.xに更新して使用する必要があります。ICU-20958 追加におけるSEGV_MAPERRの防止（重要度高）（CVE-2020-10531）C/C++66.1までのInternational Components for Unicode（ICU）で問題が発見されました。UnicodeStringには、ヒープベースのバッファオーバーフローを引き起こす整数オーバーフローが存在します。: common/unistr.cppのdoAppend()関数。

10.xでオーバーフローをトリガーするための既知の方法はありませんが、十分に注意して10.xに修正が適用されました。