リモートの SUSE Linux SUSE15ホストには、openSUSE-SU-2022:0704-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

  - パッケージpath-parseのすべてのバージョンは、splitDeviceRe、splitTailRe、およびsplitPathRe正規表現を介した正規表現のサービス拒否 (ReDoS) に対して脆弱です。ReDoSは、多項式の最悪の場合の時間の複雑さを示しています。 (CVE-2021-23343)

  - バージョン 6.1.2、5.0.7、4.4.15、および3.2.3より前のnpmパッケージtar (別名node-tar) には、不十分なシンボリックリンク保護による任意のファイル作成/上書きの脆弱性があります。 「node-tar」は、シンボリックリンクによって場所が変更されるファイルが抽出されないことを保証することを目的としています。これは、抽出されたディレクトリがシンボリックリンクではないことを確認することで、一部は達成されます。さらに、特定のパスがディレクトリであるかどうかを判断するための不要な「stat」呼び出しを防ぐために、ディレクトリが作成されるときにパスがキャッシュされます。ディレクトリとディレクトリと同じ名前のシンボリックリンクの両方を含むtarファイルを抽出する際に、このロジックは不十分でした。この操作順序により、ディレクトリが作成され、「node-tar」ディレクトリキャッシュに追加されました。ディレクトリがディレクトリキャッシュにある場合、そのディレクトリに対する後続のmkdirの呼び出しはスキップされます。ただし、これはシンボリックリンクの「node-tar」チェックが行われる場所でもあります。最初にディレクトリを作成し、次にそのディレクトリをシンボリックリンクに置き換えることで、ディレクトリの「node-tar」シンボリックリンクチェックをバイパスし、信頼できないtarファイルを任意の場所にシンボリックリンクさせ、その後そこに任意のファイルを抽出することが可能になりました。任意のファイルの作成および上書きを可能にします。この問題は、リリース3.2.3、4.4.15、5.0.7および6.1.2で対処されています。 (CVE-2021-32803)

  - バージョン6.1.1、5.0.6、4.4.14、および3.3.2より前のnpmパッケージtar (別名node-tar) には、絶対パスサニタイズが不十分なため、任意のファイル作成/上書きの脆弱性があります。 node-tarは、「preservePaths」フラグが「true」に設定されていない場合に、絶対パスを相対パスに変換することで、絶対ファイルパスの抽出を防ぐことを目的としています。これは、tarファイルに含まれる絶対ファイルパスから絶対パスルートを取り除くことで達成されます。たとえば、「/home/user/.bashrc」は「home/user/.bashrc」になります。ファイルパスに「////home/user/.bashrc」などの繰り返されるパスルートが含まれる場合、このロジックは不十分でした。
    「node-tar」は、そのようなパスから単一のパスルートのみを削除します。繰り返しパスルートを持つ絶対ファイルパスが与えられた場合、結果のパス (例：「///home/user/.bashrc」) は依然として絶対パスに解決され、任意のファイルの作成および上書きが可能になります。この問題は、リリース3.2.2、4.4.14、5.0.6および6.1.1で対処されています。ユーザーは、「entry.path」をサニタイズするカスタムの「onentry」メソッド、または絶対パスを持つエントリを削除する「filter」メソッドを作成することで、アップグレードせずにこの脆弱性を回避できます。詳細については、GitHubアドバイザリを参照してください。CVE-2021-32803に注意してください。これにより、新しいバージョンのtarで同様のバグが修正されます。 (CVE-2021-32804)

  - ansi-regex は非効率的な正規表現の複雑性に対して脆弱です (CVE-2021-3807)

  - json-schema は、オブジェクトプロトタイプ属性の不適切に制御された変更 (「プロトタイプ汚染」) に対して脆弱です (CVE-2021-3918)

Nessus はこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

検出

openSUSE 15 セキュリティ更新: nodejs8 (openSUSE-SU-2022:0704-1)

critical Nessus プラグイン ID 158636

バージョン 1.3

バージョン 1.2

バージョン 1.3 Nov 6, 2023, 2:53 PM CVSS temporal metrics ("CVSSv2 temporal vector" set to "CVSS2#E:F/RL:OF/RC:C". "CVSSv3 temporal vector" set to "CVSS:3.0/E:F/RL:O/RC:C") Exploit attributes ("Exploit available" set to "True". "Exploitability ease" changed from "No known exploits are available" to "Exploits are available") Plugin Feed: 202311061453
バージョン 1.2 Nov 6, 2023, 1:01 PM CVSS temporal metrics ("CVSSv2 temporal vector" set to "CVSS2#E:F/RL:OF/RC:C") CVSS temporal metrics ("CVSSv3 temporal vector" set to "CVSS:3.0/E:F/RL:O/RC:C") Exploit attributes ("Exploit available" set to "True") Exploit attributes ("Exploitability ease" changed from "No known exploits are available" to "Exploits are available") Plugin Feed: 202311061301