SUSE SLES15 / openSUSE 15 セキュリティ更新: nodejs10 (SUSE-SU-2022:1717-1)
critical Nessus プラグイン ID 161258
Language:
概要
リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。説明
リモートの SUSE Linux SLES15 / openSUSE 15 ホストには、SUSE-SU-2022:1717-1 のアドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。- パッケージpath-parseのすべてのバージョンは、splitDeviceRe、splitTailRe、およびsplitPathRe正規表現を介した正規表現のサービス拒否 (ReDoS) に対して脆弱です。ReDoS は、多項式の最悪の場合の時間の複雑さを示しています。(CVE-2021-23343)
- バージョン 6.1.2、5.0.7、4.4.15、および 3.2.3 より前の npm パッケージ tar (別名 node-tar) には、不十分なシンボリックリンク保護による任意のファイル作成/上書きの脆弱性があります。「node-tar」は、シンボリックリンクによって場所が変更されるファイルが抽出されないことを保証することを目的としています。これは、抽出されたディレクトリがシンボリックリンクではないことを確認することで、一部は達成されます。さらに、特定のパスがディレクトリであるかどうかを判断するための不要な「stat」呼び出しを防ぐために、ディレクトリが作成されるときにパスがキャッシュされます。ディレクトリとディレクトリと同じ名前のシンボリックリンクの両方を含むtarファイルを抽出する際に、このロジックは不十分でした。この操作順序により、ディレクトリが作成され、「node-tar」ディレクトリキャッシュに追加されました。ディレクトリがディレクトリキャッシュにある場合、そのディレクトリに対する後続のmkdirの呼び出しはスキップされます。ただし、これはシンボリックリンクの「node-tar」チェックが行われる場所でもあります。最初にディレクトリを作成し、次にそのディレクトリをシンボリックリンクに置き換えることで、ディレクトリの「node-tar」シンボリックリンクチェックをバイパスし、信頼できないtarファイルを任意の場所にシンボリックリンクさせ、その後そこに任意のファイルを抽出することが可能になりました。任意のファイルの作成および上書きを可能にします。この問題は、リリース 3.2.3、4.4.15、5.0.7 および 6.1.2 で対処されています。(CVE-2021-32803)
- バージョン 6.1.1、5.0.6、4.4.14、および 3.3.2 より前の npm パッケージ tar (別名 node-tar) には、絶対パスサニタイズが不十分なため、任意のファイル作成/上書きの脆弱性があります。node-tar は、「preservePaths」フラグが「true」に設定されていない場合に、絶対パスを相対パスに変換することで、絶対ファイルパスの抽出を防ぐことを目的としています。これは、tar ファイルに含まれる絶対ファイルパスから絶対パスルートを取り除くことで達成されます。たとえば、「/home/user/.bashrc」は「home/user/.bashrc」になります。ファイルパスに「////home/user/.bashrc」などの繰り返されるパスルートが含まれる場合、このロジックは不十分でした。
「node-tar」は、そのようなパスから単一のパスルートのみを削除します。繰り返しパスルートを持つ絶対ファイルパスが与えられた場合、結果のパス (例:「///home/user/.bashrc」) は依然として絶対パスに解決され、任意のファイルの作成および上書きが可能になります。この問題は、リリース3.2.2、4.4.14、5.0.6および6.1.1で対処されています。ユーザーは、「entry.path」をサニタイズするカスタムの「onentry」メソッド、または絶対パスを持つエントリを削除する「filter」メソッドを作成することで、アップグレードせずにこの脆弱性を回避できます。詳細については、GitHubアドバイザリを参照してください。CVE-2021-32803 に注意してください。これにより、新しいバージョンの tar で同様のバグが修正されます。(CVE-2021-32804)
- ansi-regex は非効率的な正規表現の複雑性に対して脆弱です (CVE-2021-3807)
- json-schema は、オブジェクトプロトタイプ属性の不適切に制御された変更 (「プロトタイプ汚染」) に対して脆弱です (CVE-2021-3918)
- Minimist <= 1.2.5 は、ファイル index.js、関数 setKey() (69-95 行) を介した Prototype Pollution に対して脆弱です。
(CVE-2021-44906)
- node-fetch は認証されていないアクターへの機密情報の漏洩に対して脆弱です (CVE-2022-0235)
- console.table () 関数のフォーマットロジックにより、ユーザー制御の入力をプロパティパラメーターに渡すことはできませんが、最初のパラメーターとして少なくとも1つのプロパティを持つプレーンオブジェクトを渡すことは安全ではありません。これは__proto__である可能性があります。プロトタイプ汚染は、オブジェクトプロトタイプの数値キーに割り当てられる空の文字列のみを許可するという点で、コントロールが非常に制限されています。Node.js >= 12.22.9、>= 14.18.3、>= 16.13.2、および >= 17.3.1はこれらのプロパティが割り当てられている null プロトタイプを使用しています。(CVE-2022-21824)
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。
ソリューション
影響を受けるnodejs10、nodejs10-devel、nodejs10-docsやnpm10パッケージを更新してください。参考資料
https://bugzilla.suse.com/1191962
https://bugzilla.suse.com/1191963
https://bugzilla.suse.com/1192153
https://bugzilla.suse.com/1192154
https://bugzilla.suse.com/1192696
https://bugzilla.suse.com/1194514
https://bugzilla.suse.com/1194819
https://bugzilla.suse.com/1197283
https://bugzilla.suse.com/1198247
https://www.suse.com/security/cve/CVE-2021-23343
https://www.suse.com/security/cve/CVE-2021-32803
https://www.suse.com/security/cve/CVE-2021-32804
https://www.suse.com/security/cve/CVE-2021-3807
https://www.suse.com/security/cve/CVE-2021-3918
https://www.suse.com/security/cve/CVE-2021-44906
https://www.suse.com/security/cve/CVE-2021-44907
https://www.suse.com/security/cve/CVE-2022-0235
プラグインの詳細
深刻度: Critical
ID: 161258
ファイル名: suse_SU-2022-1717-1.nasl
バージョン: 1.7
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2022/5/18
更新日: 2023/7/13
サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: High
基本値: 7.5
現状値: 6.2
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2021-44906
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 9.1
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:novell:suse_linux:nodejs10, p-cpe:/a:novell:suse_linux:nodejs10-devel, p-cpe:/a:novell:suse_linux:nodejs10-docs, p-cpe:/a:novell:suse_linux:npm10, cpe:/o:novell:suse_linux:15
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2022/5/17
脆弱性公開日: 2021/5/4
参照情報
CVE: CVE-2021-23343, CVE-2021-32803, CVE-2021-32804, CVE-2021-3807, CVE-2021-3918, CVE-2021-44906, CVE-2021-44907, CVE-2022-0235, CVE-2022-21824
SuSE: SUSE-SU-2022:1717-1