Node.js 14.x < 14.21.3 / 16.x < 16.19.1 / 18.x < 18.14.1 / 19.x < 19.6.1 の複数の脆弱性 (2023 年 2 月 16 日木曜日のセキュリティリリース)。

high Nessus プラグイン ID 171595

概要

Node.js - JavaScript Runtime Environment は複数の脆弱性の影響を受けます。

説明

リモートホストにインストールされているNode.jsのバージョンは、14.21.3、16.19.1、18.14.1、19.6.1 より前のものです。したがって、2023 年 2 月 16 日木曜日のセキュリティリリースのアドバイザリに記載されている複数の脆弱性の影響を受けます。

- process.mainModule.require() を使用して、権限をバイパスし、承認されていないモジュールにアクセスすることが可能でした。これは、実験的な権限オプションを --experimental-policy で有効にしたユーザーにのみ影響します。この脆弱性を報告してくれた @goums に、および修正してくれた Rafael Gonzaga 氏に感謝の意を表します。影響: (CVE-2023-23918)

- 場合によっては、Node.js が OpenSSL エラースタックを設定する可能性のある操作の後にそれをクリアしませんでした。これにより、後続の暗号操作中に誤検出エラーが発生し、同じスレッド上で発生する可能性があります。これを使用して、サービス拒否が引き起こされる可能性があります。この脆弱性を報告、発見してくれた Viasat Secure Mobile の Morgan Jones 氏と Ryan Dorrity 氏に感謝の意を表します。また、この問題を修正してくれた Rafael Gonzaga 氏に感謝の意を表します。影響: (CVE-2023-23919)

- Node.js のフェッチ API は、「host」ヘッダーの CRLF インジェクションを防止しませんでした。これにより、HTTP 応答分割や HTTP ヘッダーインジェクションなどの攻撃が可能になります。この脆弱性を報告してくれた Zhipeng Zhang 氏 (@timon8) に、および修正してくれた Robert Nagy 氏に感謝の意を表します。影響: (CVE-2023-23936)

- Regular 表現のサービス拒否 (ReDoS) 攻撃に対して脆弱な Node.js のフェッチ API の Headers.set() メソッドおよび Headers.append() メソッド。この脆弱性を報告してくれた Carter Snook 氏に、および修正してくれた Rich Trott 氏に感謝の意を表します。影響: (CVE-2023-24807)

- 昇格した権限で実行すると、Node.js が ICU データを検索し、ロードする可能性があります。Node.js は、これを回避するために ICU_NO_USER_DATA_OVERRIDE で構築するように変更されました。この脆弱性を報告してくれた Ben Noordhuis 氏に、および修正してくれた Rafael Gonzaga 氏に感謝の意を表します。影響: (CVE-2023-23920)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

Node.jsのバージョンを 14.21.3/ 16.19.1/ 18.14.1/ 19.6.1以降にアップグレードしてください。

参考資料

http://www.nessus.org/u?461376f3

プラグインの詳細

深刻度: High

ID: 171595

ファイル名: nodejs_2023_feb.nasl

バージョン: 1.8

タイプ: local

エージェント: windows, macosx, unix

ファミリー: Misc.

公開日: 2023/2/17

更新日: 2024/1/9

設定: 徹底したチェックを有効にする

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.4

CVSS v2

リスクファクター: High

Base Score: 7.8

Temporal Score: 6.1

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:N

CVSS スコアのソース: CVE-2023-23918

CVSS v3

リスクファクター: High

Base Score: 7.5

Temporal Score: 6.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:nodejs:node.js

必要な KB アイテム: installed_sw/Node.js

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2023/2/16

脆弱性公開日: 2023/2/16

参照情報

CVE: CVE-2023-23918, CVE-2023-23919, CVE-2023-23920, CVE-2023-23936, CVE-2023-24807

IAVB: 2023-B-0013