リモートホストにインストールされている Node.js のバージョンは、14.20.0、16.16.0、18.5.0より前のものです。したがって、2022 年 7 月のセキュリティリリースのアドバイザリに記載されている複数の脆弱性の影響を受けます。

  - http モジュールの llhttp パーサーが、Transfer-Encoding ヘッダーを適切に解析し検証しません。これにより、HTTPリクエストスマグリングが引き起こされる可能性があります (HRS) 。詳細については、公開後に CVE-2022-32213で入手できるようになります。この脆弱性を報告してくれた Zeyu Zhang 氏 (@ zeyu2001) に感謝の意を表します。影響:
    (CVE-2022-32213)

  - http モジュールの llhttp パーサーは、HTTP リクエストの区切りに CRLF シーケンスを厳密には使用しません。
    これにより、HTTPリクエストスマグリングが引き起こされる可能性があります (HRS) 。詳細については、公開後に CVE-2022-32214で入手できるようになります。この脆弱性を報告してくれた Zeyu Zhang 氏 (@ zeyu2001) に感謝の意を表します。影響:
    (CVE-2022-32214)

  - http モジュールの llhttp パーサーが、複数行の Transfer-Encoding ヘッダーを適切に処理しません。これにより、HTTPリクエストスマグリングが引き起こされる可能性があります (HRS) 。詳細については、公開後に CVE-2022-32215で入手できるようになります。この脆弱性を報告してくれた Zeyu Zhang 氏 (@ zeyu2001) に感謝の意を表します。影響:
    (CVE-2022-32215)

  - IsIPAddress は IP アドレスが無効かどうかを適切にチェックしないため、IsAllowedHost チェックは簡単にバイパスできます。無効な IPv4 アドレスが提供されると ( 10.0.2.555が提供されるなど) 、ブラウザ (Firefox など) が DNS サーバーに DNS リクエストを行い、攻撃者が制御する DNS サーバーまたは MITM にベクトルを提供して、DNS 応答を偽装する可能性があります。再バインド攻撃を実行し、WebSocket デバッガに接続することで、任意コード実行が可能になります。これは CVE-2021-22884のバイパスです。詳細については、公開後に CVE-2022-32212で入手できるようになります。この脆弱性を報告してくれた Axel Chong 氏 に感謝の意を表します。影響: (CVE-2022-32212)

  - 被害者が Windows マシンで次の依存関係を持っている場合、この脆弱性が悪用される可能性があります:
    上記の条件が存在する場合、node.exe は現在のユーザーディレクトリで providers.dll を検索します。その後、node.exe は Windows の DLL Search Order で providers.dll を検索しようとします。
    攻撃者が悪意のあるファイル providers.dll をさまざまなパスに配置し、この脆弱性を悪用する可能性があります。詳細については、公開後に CVE-2022-32223で入手できるようになります。この脆弱性を報告してくれた、Aqua Security の Yakir Kadkoda 氏に感謝の意を表します。影響: 注: Node.js は、環境変数 OPENSSL_CONF を指定するか、コマンドラインオプション --openssl-confを使用することで、OpenSSL 構成ファイルを使用できます。これらのいずれも指定されていない場合は、デフォルトでデフォルトの OpenSSL 構成ファイル openssl.cnf が読み取られます。Node.js は、デフォルトで nodejs_conf という名前のセクションのみを読み取ります。インストールがデフォルトの openssl.cnf ファイルを使用しており、この重大な変更の影響を受ける場合は、以下の方法で以前の動作に戻すことができます：(CVE-2022-32223)

  - Node.js が Linux ベースのシステムで起動すると、通常は存在しない /home/iojs/build/ws/out/Release/obj.target/deps/openssl/openssl.cnf を読み取ろうとします。一部の共有システムでは、攻撃者がこのファイルを作成できるため、他のユーザーのデフォルトの OpenSSL 構成に影響を与える可能性があります。この脆弱性を報告してくれた OpenSSF Alpha-Omega プロジェクトの Michael Scovetta 氏に感謝の意を表します。影響: (CVE-2022-32222)

  - AES-NI アセンブリ最適化実装を使用する 32 ビット x86 プラットフォームの AES OCB モードは、一部の状況でデータ全体を暗号化しません。これにより、書き込まれなかったメモリに既存の 16 バイトのデータが漏洩する可能性があります。インプレース暗号化の特別なケースでは、平文の 16 バイトが漏洩します。OpenSSL は、TLS および DTLS の OCB ベースの暗号化パッケージをサポートしていないため、どちらも影響を受けません。影響: (CVE-2022-2097)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

検出

Node.js 14.x< 14.20.0/ 16.x< 16.16.0/ 18.x< 18.5.0複数の脆弱性 (2022 年 7 月 7 日のセキュリティリリース).

high Nessus プラグイン ID 165634

バージョン 1.7

バージョン 1.6

バージョン 1.5

バージョン 1.4

バージョン 1.3

バージョン 1.7 Jan 9, 2024, 11:15 AM Detection (Improved detection of OS managed installs) Plugin Feed: 202401091115
バージョン 1.6 Oct 10, 2023, 4:16 PM CVSS temporal metrics ("CVSSv2 temporal vector" set to "CVSS2#E:F/RL:OF/RC:C". "CVSSv3 temporal vector" set to "CVSS:3.0/E:F/RL:O/RC:C") Exploit attributes ("Exploit available" set to "True". "Exploitability ease" changed from "No known exploits are available" to "Exploits are available") Plugin Feed: 202310101616
バージョン 1.5 Sep 11, 2023, 8:03 PM Plugin requirements (added Linux node.js detection as a dependency) Plugin Feed: 202309112003
バージョン 1.4 Mar 23, 2023, 4:25 PM CVSS metrics ("CVSSv3 score" changed from "9.1" to "8.1". "CVSSv3 score" changed from "9.1" to "8.1". "CVSSv3 score" changed from "9.1" to "8.1". "CVSSv3 vector" changed from "CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N" to "CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H". "CVSSv3 vector" changed from "CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N" to "CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H") CVSSv3 score source (changed from "CVE-2022-32215" to "CVE-2022-32212") Plugin Feed: 202303231625
バージョン 1.3 Nov 14, 2022, 9:03 PM IAVM reference Plugin Feed: 202211142103