Debian DLA-3260-1: node-xmldom - LTS セキュリティ更新

critical Nessus プラグイン ID 169694

Language:

概要

リモートの Debian ホストにセキュリティ関連の更新プログラムがありません。

説明

リモートの Debian 10 ホストには、dla-3260 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

- xmldom は、純粋な JavaScript W3C 標準ベース (XML DOM Level 2 Core) の DOMParser および XMLSerializer モジュールです。
xmldom バージョン 0.4.0 以前では、悪意を持って細工されたドキュメントを繰り返し解析およびシリアル化すると、システム識別子、FPI、または名前空間が正しく保存されません。これにより、一部のダウンストリームアプリケーションで、XML 処理中に予期しない構文変更が発生する可能性があります。これはバージョン0.5.0で修正されました。回避策として、ダウンストリームアプリケーションで入力を検証し、悪意を持って細工されたドキュメントを拒否することができます。
(CVE-2021-21366)

- Passport-SAML は、Node.js 認証ライブラリである Passport 用の SAML 2.0 認証プロバイダーです。リモート攻撃者が、passport-saml を使用する Web サイトで SAML 認証をバイパスできる可能性があります。攻撃を成功させるには、攻撃者が任意の IDP 署名付き XML 要素を所有していることが必要です。使用される IDP によっては、署名されたメッセージの生成をトリガーできる場合、完全に認証されていない攻撃 (有効なユーザーへのアクセスがないなど) も実行可能な場合があります。ユーザーは、passport-saml バージョン 3.2.2 以降にアップグレードする必要があります。この問題は、バージョン 4.0.0-beta.5 より前の「node-saml」のベータリリースにも存在していました。アップグレードできない場合は、回避策として SAML 認証を無効化することができます。(CVE-2022-39299)

- xmldom は、純粋な JavaScript W3C 標準ベース (XML DOM Level 2 Core) の「DOMParser」および「XMLSerializer」モジュールです。xmldom は、複数のトップレベル要素が含まれているために形式が正しくない XML を解析し、エラーやスローを報告せずに、すべてのルートノードを「Document」の「childNodes」コレクションに追加します。これによって、ツリーに単一のルートノードしかないという仮定が崩れ、依存関係の問題である可能性があるため、CVE-2022-39299 の発行を引き起こしました。@xmldom/xmldom@~0.7.7、@xmldom/xmldom@~0.8.4 (dist-tag latest) または@xmldom/xmldom@>=0.9.0-beta.4 (dist-tag next) に更新してください。回避策として、ユースケースに応じて次のいずれかの方法を行ってください: DOM 全体で要素を検索する代わりに、「documentElement」のみを検索するか、「childNode」が 2 つ以上あるドキュメントを拒否します。(CVE-2022-39353)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。