深刻度

テーマ

SUSE SLES15セキュリティ更新プログラム: nodejs10 (SUSE-SU-2022:1717-1)

critical Nessus プラグイン ID 161258

言語:

概要

リモートのSUSEホストに1つ以上のセキュリティ更新がありません。

説明

リモートの SUSE Linux SLES15ホストには、SUSE-SU-2022:1717-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

- パッケージpath-parseのすべてのバージョンは、splitDeviceRe、splitTailRe、およびsplitPathRe正規表現を介した正規表現のサービス拒否 (ReDoS) に対して脆弱です。ReDoSは、多項式の最悪の場合の時間の複雑さを示しています。 (CVE-2021-23343)

- バージョン 6.1.2、5.0.7、4.4.15、および3.2.3より前のnpmパッケージtar (別名node-tar) には、不十分なシンボリックリンク保護による任意のファイル作成/上書きの脆弱性があります。「node-tar」は、シンボリックリンクによって場所が変更されるファイルが抽出されないことを保証することを目的としています。これは、抽出されたディレクトリがシンボリックリンクではないことを確認することで、一部は達成されます。さらに、特定のパスがディレクトリであるかどうかを判断するための不要な「stat」呼び出しを防ぐために、ディレクトリが作成されるときにパスがキャッシュされます。ディレクトリとディレクトリと同じ名前のシンボリックリンクの両方を含むtarファイルを抽出する際に、このロジックは不十分でした。この操作順序により、ディレクトリが作成され、「node-tar」ディレクトリキャッシュに追加されました。ディレクトリがディレクトリキャッシュにある場合、そのディレクトリに対する後続のmkdirの呼び出しはスキップされます。ただし、これはシンボリックリンクの「node-tar」チェックが行われる場所でもあります。最初にディレクトリを作成し、次にそのディレクトリをシンボリックリンクに置き換えることで、ディレクトリの「node-tar」シンボリックリンクチェックをバイパスし、信頼できないtarファイルを任意の場所にシンボリックリンクさせ、その後そこに任意のファイルを抽出することが可能になりました。任意のファイルの作成および上書きを可能にします。この問題は、リリース3.2.3、4.4.15、5.0.7および6.1.2で対処されています。 (CVE-2021-32803)

- バージョン6.1.1、5.0.6、4.4.14、および3.3.2より前のnpmパッケージtar (別名node-tar) には、絶対パスサニタイズが不十分なため、任意のファイル作成/上書きの脆弱性があります。 node-tarは、「preservePaths」フラグが「true」に設定されていない場合に、絶対パスを相対パスに変換することで、絶対ファイルパスの抽出を防ぐことを目的としています。これは、tarファイルに含まれる絶対ファイルパスから絶対パスルートを取り除くことで達成されます。たとえば、「/home/user/.bashrc」は「home/user/.bashrc」になります。ファイルパスに「////home/user/.bashrc」などの繰り返されるパスルートが含まれる場合、このロジックは不十分でした。
「node-tar」は、そのようなパスから単一のパスルートのみを削除します。繰り返しパスルートを持つ絶対ファイルパスが与えられた場合、結果のパス (例：「///home/user/.bashrc」) は依然として絶対パスに解決され、任意のファイルの作成および上書きが可能になります。この問題は、リリース3.2.2、4.4.14、5.0.6および6.1.1で対処されています。ユーザーは、「entry.path」をサニタイズするカスタムの「onentry」メソッド、または絶対パスを持つエントリを削除する「filter」メソッドを作成することで、アップグレードせずにこの脆弱性を回避できます。詳細については、GitHubアドバイザリを参照してください。CVE-2021-32803に注意してください。これにより、新しいバージョンのtarで同様のバグが修正されます。 (CVE-2021-32804)

- ansi-regex は非効率的な正規表現の複雑性に対して脆弱です (CVE-2021-3807)

- json-schema は、オブジェクトプロトタイプ属性の不適切に制御された変更 (「プロトタイプ汚染」) に対して脆弱です (CVE-2021-3918)

- Minimist <= 1.2.5は、ファイル index.js、関数 setKey() (69-95 行) を介した Prototype Pollution に対して脆弱です。
(CVE-2021-44906)

- **拒否** この候補番号は使用しないでください。ConsultIDs：ありません。理由：この候補は、そのCNAにより撤回されました。さらなる調査の結果、これはセキュリティ問題ではないことが判明しました。注意：ありません。(CVE-2021-44907)

- node-fetch は認証されていないアクターへの機密情報の漏洩に対して脆弱です (CVE-2022-0235)

- console.table () 関数のフォーマットロジックにより、ユーザー制御の入力をプロパティパラメーターに渡すことはできませんが、最初のパラメーターとして少なくとも1つのプロパティを持つプレーンオブジェクトを渡すことは安全ではありません。これは__proto__である可能性があります。プロトタイプ汚染は、オブジェクトプロトタイプの数値キーに割り当てられる空の文字列のみを許可するという点で、コントロールが非常に制限されています。Node.js >= 12.22.9、>= 14.18.3、>= 16.13.2、および >= 17.3.1はこれらのプロパティが割り当てられている null プロトタイプを使用しています。(CVE-2022-21824)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

影響を受けるnodejs10、nodejs10-devel、nodejs10-docsやnpm10パッケージを更新してください。

プラグインの詳細

深刻度: Critical

ID: 161258

ファイル名: suse_SU-2022-1717-1.nasl

バージョン: 1.2

タイプ: local

エージェント: unix

ファミリー: SuSE Local Security Checks

公開日: 2022/5/18

更新日: 2022/5/18

サポートされているセンサー: Nessus Agent

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

Base Score: 7.5

Temporal Score: 5.5

ベクトル: AV:N/AC:L/Au:N/C:P/I:P/A:P

現状ベクトル: E:U/RL:OF/RC:C

CVSS スコアのソース: CVE-2021-44906

CVSS v3

リスクファクター: Critical

Base Score: 9.8

Temporal Score: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:nodejs10, p-cpe:/a:novell:suse_linux:nodejs10-devel, p-cpe:/a:novell:suse_linux:nodejs10-docs, p-cpe:/a:novell:suse_linux:npm10, cpe:/o:novell:suse_linux:15

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2022/5/17

脆弱性公開日: 2021/5/4

参照情報

CVE: CVE-2021-3807, CVE-2021-3918, CVE-2021-23343, CVE-2021-32803, CVE-2021-32804, CVE-2021-44906, CVE-2021-44907, CVE-2022-0235, CVE-2022-21824

SuSE: SUSE-SU-2022:1717-1