Debian DLA-3295-1: node-moment - LTS セキュリティ更新

high Nessus プラグイン ID 170880

Language:

概要

リモートの Debian ホストに 1 つまたは複数のセキュリティ関連の更新プログラムがありません。

説明

リモートの Debian 10 ホストには、dla-3295 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

- Moment.js は日付を解析、検証、操作、およびフォーマットするための JavaScript 日付ライブラリです。パストラバーサルの脆弱性は、バージョン 1.0.1と 2.29.1の間の Moment.js の npm (サーバー) ユーザーに影響を与えます。特に、ユーザー提供のロケール文字列が直接使用され、瞬間ロケールが切り替わる場合に影響があります。この問題は 2.29.2でパッチされており、このパッチは影響を受けるすべてのバージョンに適用できます。回避策として、ユーザー提供のロケール名を Moment.js に渡す前にサニタイズしてください。(CVE-2022-24785)

- moment は日付を解析、検証、操作、およびフォーマットするための JavaScript 日付ライブラリです。影響を受けるバージョンのモーメントが、非効率的な解析アルゴリズムを使用していることが判明しました。具体的には、moment で string-to-date 解析 (より具体的には、デフォルトで試行される rfc2822 解析) を使用すると、特定の入力が二次 (N^2) の複雑さになります。ユーザーは、10000 文字を超える入力で顕著な減速が見られることに気付く場合があります。ユーザー提供の文字列をサニティ長さをチェックせずにモーメントコンストラクターに渡すユーザーは、(Re) DoS 攻撃に脆弱です。この問題は 2.29.4でパッチされており、このパッチは影響を受けるすべてのバージョンに最小限の調整で適用できます。ユーザーにアップグレードすることを推奨します。アップグレードできないユーザーは、ユーザー入力から受け入れられる日付の長さを制限することを検討する必要があります。(CVE-2022-31129)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。