SUSE SLES15 セキュリティ更新プログラム: nodejs14 (SUSE-SU-2022:0715-1)

critical Nessus プラグイン ID 158609

Language:

概要

リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。

説明

リモートの SUSE Linux SLES15 / SLES_SAP15 ホストには、SUSE-SU-2022:0715-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

- パッケージpath-parseのすべてのバージョンは、splitDeviceRe、splitTailRe、およびsplitPathRe正規表現を介した正規表現のサービス拒否 (ReDoS) に対して脆弱です。ReDoS は、多項式の最悪の場合の時間の複雑さを示しています。(CVE-2021-23343)

- バージョン 6.1.2、5.0.7、4.4.15、および 3.2.3 より前の npm パッケージ tar (別名 node-tar) には、不十分なシンボリックリンク保護による任意のファイル作成/上書きの脆弱性があります。「node-tar」は、シンボリックリンクによって場所が変更されるファイルが抽出されないことを保証することを目的としています。これは、抽出されたディレクトリがシンボリックリンクではないことを確認することで、一部は達成されます。さらに、特定のパスがディレクトリであるかどうかを判断するための不要な「stat」呼び出しを防ぐために、ディレクトリが作成されるときにパスがキャッシュされます。ディレクトリとディレクトリと同じ名前のシンボリックリンクの両方を含むtarファイルを抽出する際に、このロジックは不十分でした。この操作順序により、ディレクトリが作成され、「node-tar」ディレクトリキャッシュに追加されました。ディレクトリがディレクトリキャッシュにある場合、そのディレクトリに対する後続のmkdirの呼び出しはスキップされます。ただし、これはシンボリックリンクの「node-tar」チェックが行われる場所でもあります。最初にディレクトリを作成し、次にそのディレクトリをシンボリックリンクに置き換えることで、ディレクトリの「node-tar」シンボリックリンクチェックをバイパスし、信頼できないtarファイルを任意の場所にシンボリックリンクさせ、その後そこに任意のファイルを抽出することが可能になりました。任意のファイルの作成および上書きを可能にします。この問題は、リリース 3.2.3、4.4.15、5.0.7 および 6.1.2 で対処されています。(CVE-2021-32803)

- バージョン 6.1.1、5.0.6、4.4.14、および 3.3.2 より前の npm パッケージ tar (別名 node-tar) には、絶対パスサニタイズが不十分なため、任意のファイル作成/上書きの脆弱性があります。node-tar は、「preservePaths」フラグが「true」に設定されていない場合に、絶対パスを相対パスに変換することで、絶対ファイルパスの抽出を防ぐことを目的としています。これは、tar ファイルに含まれる絶対ファイルパスから絶対パスルートを取り除くことで達成されます。たとえば、「/home/user/.bashrc」は「home/user/.bashrc」になります。ファイルパスに「////home/user/.bashrc」などの繰り返されるパスルートが含まれる場合、このロジックは不十分でした。
「node-tar」は、そのようなパスから単一のパスルートのみを削除します。繰り返しパスルートを持つ絶対ファイルパスが与えられた場合、結果のパス (例:「///home/user/.bashrc」) は依然として絶対パスに解決され、任意のファイルの作成および上書きが可能になります。この問題は、リリース3.2.2、4.4.14、5.0.6および6.1.1で対処されています。ユーザーは、「entry.path」をサニタイズするカスタムの「onentry」メソッド、または絶対パスを持つエントリを削除する「filter」メソッドを作成することで、アップグレードせずにこの脆弱性を回避できます。詳細については、GitHubアドバイザリを参照してください。CVE-2021-32803 に注意してください。これにより、新しいバージョンの tar で同様のバグが修正されます。(CVE-2021-32804)

- ansi-regex は非効率的な正規表現の複雑性に対して脆弱です (CVE-2021-3807)

- json-schema は、オブジェクトプロトタイプ属性の不適切に制御された変更 (「プロトタイプ汚染」) に対して脆弱です (CVE-2021-3918)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

影響を受ける nodejs14、nodejs14-devel、nodejs14-docs および/または npm14 パッケージを更新してください。

参考資料

https://bugzilla.suse.com/1191962

https://bugzilla.suse.com/1191963

https://bugzilla.suse.com/1192153

https://bugzilla.suse.com/1192154

https://bugzilla.suse.com/1192696

https://www.suse.com/security/cve/CVE-2021-23343

https://www.suse.com/security/cve/CVE-2021-32803

https://www.suse.com/security/cve/CVE-2021-32804

https://www.suse.com/security/cve/CVE-2021-3807

https://www.suse.com/security/cve/CVE-2021-3918

http://www.nessus.org/u?38b8a5f8

プラグインの詳細

深刻度: Critical

ID: 158609

ファイル名: suse_SU-2022-0715-1.nasl

バージョン: 1.6

タイプ: local

エージェント: unix

公開日: 2022/3/5

更新日: 2023/7/14

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

Base Score: 7.5

Temporal Score: 6.2

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2021-3918

CVSS v3

リスクファクター: Critical

Base Score: 9.8

Temporal Score: 9.1

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:nodejs14, p-cpe:/a:novell:suse_linux:nodejs14-devel, p-cpe:/a:novell:suse_linux:nodejs14-docs, p-cpe:/a:novell:suse_linux:npm14, cpe:/o:novell:suse_linux:15

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2022/3/4

脆弱性公開日: 2021/5/4

参照情報

CVE: CVE-2021-23343, CVE-2021-32803, CVE-2021-32804, CVE-2021-3807, CVE-2021-3918

SuSE: SUSE-SU-2022:0715-1