Rocky Linux 9nodejs and nodejs-nodemonRLSA-2022:6595

critical Nessus プラグイン ID 171017

Language:

概要

リモートの Rocky Linux ホストに、1 つ以上のセキュリティ更新がありません。

説明

リモートのRocky Linux 9ホストには、RLSA-2022:6595アドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

- npm パックは、ワークスペースで、またはワークスペースフラグ付きで実行される場合、root レベルの .gitignore および .npmignore ファイル除外ディレクティブを無視します (例:「--workspaces」、「--workspace=<name>」)。v7.9.0 や v7.13.0 では、ワークスペース内で「npm pack」や「npm publish」を実行したことがあるユーザーは、影響を受ける可能性があり、含めるつもりのない npm レジストリにファイルを公開している可能性があります。ユーザーは、npm v8.11.0、runnpm i -g npm@latest のパッチを適用した最新バージョンにアップグレードする必要があります。Node.js バージョン v16.15.1、v17.19.1、および v18.3.0 には、パッチが適用された npm の v8.11.0 バージョンが含まれています。(CVE-2022-29244)

-これは、1.3.6より前のパッケージに影響を与えます。攻撃者が悪意のあるINIファイルをini.parseで解析するアプリケーションに送信すると、アプリケーションのプロトタイプが汚染されます。これは、コンテキストによってはさらに悪用される可能性があります。(CVE-2020-7788)

-これは、5.1.2より前のパッケージ glob-parent に影響を与えます。エンクロージャ正規表現は、パスセパレーターを含むエンクロージャで終わる文字列をチェックするために使用されていました。(CVE-2020-28469)

- ansi-regex は非効率的な正規表現の複雑性に対して脆弱です (CVE-2021-3807)

- Node.js の normalize-url パッケージの 4.5.1 より前、5.3.1 より前の 5.x、および 6.0.1 より前の 6.x には、data: URL に対して指数関数的なパフォーマンスがあるため、ReDoS (正規表現のサービス拒否) の問題があります。
(CVE-2021-33502)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。