リモートの SUSE Linux SLES12 / SLES_SAP12 ホストには、SUSE-SU-2023:3355-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

  以下の問題について、https://nodejs.org/en/blog/vulnerability/august-2023-security-releasesSecurity の利用可能なリリース v16.x、v18.x および v20.x Node.js リリースラインで更新が利用可能になりました。
    アクセス許可ポリシーは、Module._load (重要度高)(CVE-2023-32002) を介してバイパスされる可能性があります。Module._load() を使用すると、ポリシーメカニズムを回避し、特定のモジュールの policy.json の定義外でモジュールを要求できる可能性があります。
    注意: この CVE が発行された時点では、このポリシーメカニズムは Node.js の実験的な機能です。影響: この脆弱性は、次のすべてのアクティブなリリースラインで実験的なポリシーメカニズムを使用しているすべてのユーザーに影響します。16.x、18.x、20.x。この脆弱性を報告してくれた mattaustin 氏に、および修正してくれた Rafael Gonzaga 氏、および Bradley Farias 氏に感謝の意を表します。Buffer (重要度高)(CVE-2023-32004) でパストラバーサルシーケンスを指定することで、アクセス許可モデルがバイパスされる可能性があります。Node.js バージョン 20 で、特に実験的なアクセス許可モデル内に脆弱性が発見されました。この欠陥は、ファイルアクセス許可を検証する際にパストラバーサルをバイパスさせるファイルシステム API におけるバッファの不適切な処理に関連しています。注意: この CVE が発行された時点では、このアクセス許可は Node.js の実験的な機能です。
    影響: この脆弱性は、Node.js 20 で実験的なアクセス許可モデルを使用しているすべてのユーザーに影響を与えます。
    この脆弱性を報告してくれた Axel Chong 氏に、および修正してくれた Rafael Gonzaga 氏に感謝の意を表します。
    process.binding() が、パストラバーサルを通じてアクセス許可モデルをバイパスする可能性があります (重要度高)(CVE-2023-32558)。廃止予定の API process.binding() を使用すると、パストラバーサルを通じてアクセス許可モデルがバイパスされる可能性があります。注意: この CVE が発行された時点では、このアクセス許可は Node.js の実験的な機能です。
    影響: この脆弱性は、Node.js 20 で実験的なアクセス許可モデルを使用しているすべてのユーザーに影響を与えます。
    この脆弱性を報告し修正してくださった Rafael Gonzaga 氏に感謝の意を表します。- module.constructor.createRequire() を使用することで、アクセス許可ポリシーが他のモジュールになりすます可能性があります (重要度中)(CVE-2023-32006)。module.constructor.createRequire() の使用により、ポリシーメカニズムをバイパスし、特定のモジュールの policy.json 定義外にモジュールが必要になる可能性があります。注意: この CVE が発行された時点では、このポリシーメカニズムは Node.js の実験的な機能です。影響: この脆弱性は、次のすべてのアクティブなリリースラインで実験的なポリシーメカニズムを使用しているすべてのユーザーに影響します。16.x、18.x、20.x。この脆弱性を報告してくださった Axel Chong 氏に、および修正してくださった Rafael Gonzaga 氏と Bradley Farias 氏に感謝の意を表します。
    process.binding() を介してアクセス許可ポリシーがバイパスされる可能性があります (重要度中)(CVE-2023-32559)。廃止予定の API process.binding() の使用により、リモートの攻撃者が、内部モジュールを要求することでポリシーメカニズムをバイパスし、最終的に process.binding('spawn_sync') を利用して、policy.json ファイルで定義された制限外で任意のコードを実行する可能性があります。注意: この CVE が発行された時点では、このポリシーは Node.js の実験的な機能です。影響: この脆弱性は、次のすべてのアクティブなリリースラインで実験的なポリシーメカニズムを使用しているすべてのユーザーに影響します。16.x、18.x、20.x。この脆弱性を報告してくださった LeoDog896 氏、および修正してくれた Tobias Nieen 氏に感謝の意を表します。fs.statfs は、アクセス許可モデルによって制限されているファイルから統計情報を取得する可能性があります (重要度低)(CVE-2023-32005)。Node.js バージョン 20 において、実験的なアクセス許可モデルを使用しているユーザーで、--allow-fs-read flag が non-* 引数とともに使用された場合に影響を受ける脆弱性が特定されました。この欠陥は、fs.statfs API を通じてファイル統計を制限できないという、不十分なアクセス許可モデルに起因しています。その結果、悪意のある攻撃者は、明示的な読み取りアクセス権がないファイルから統計情報を取得できる可能性があります。注意: この CVE が発行された時点では、このアクセス許可は Node.js の実験的な機能です。影響: この脆弱性は、Node.js 20 で実験的なアクセス許可モデルを使用しているすべてのユーザーに影響を与えます。この脆弱性を報告し、修正してくださった Rafael Gonzaga 氏に感謝の意を表します。fs.mkdtemp() と fs.mkdtempSync() で getValidatedPath() チェックが欠落しています (重要度低)(CVE-2023-32003)。fs.mkdtemp() と fs.mkdtempSync() は、パストラバーサル攻撃を使用してアクセス許可モデルチェックをバイパスするために使用される可能性があります。この欠陥は、fs.mkdtemp() API にチェックがないことから発生します。その影響として、悪意のある攻撃者が任意のディレクトリを作成する可能性があります。注意: この CVE が発行された時点では、このアクセス許可は Node.js の実験的な機能です。影響: この脆弱性は、Node.js 20 で実験的なアクセス許可モデルを使用しているすべてのユーザーに影響を与えます。この脆弱性を報告してくれた Axel Chong 氏に、および修正してくれた Rafael Gonzaga 氏に感謝の意を表します。ダウンロードとリリースの詳細: Node.js v16.20.2 (LTS) Node.js v18.17.1 (LTS) Node.js v20.5.1 (Current)(2023 年 8 月 8 日更新) セキュリティリリース予定日 8 月 9 日 Node.js セキュリティリリースは、2023 年 8 月 9 日水曜日、またはそれ以降に利用可能になります。まとめ: Node.js プロジェクトは、以下に対処するために、2023 年 8 月 8 日火曜日かその直後に、16.x、18.x および 20.x リリースラインの新しいバージョンをリリースします。3 つの重要度高の問題。
    2 つの重要度中の問題。2 つの重要度低の問題。OpenSSL セキュリティ更新: このセキュリティリリースには、以下の OpenSSL セキュリティ更新が含まれます。OpenSSL セキュリティアドバイザリ (7 月 14 日)。OpenSSL セキュリティアドバイザリ (7 月 19 日)。OpenSSL セキュリティアドバイザリ (7 月 31 日)。影響: Node.js 20.x リリースラインは、3 つの重要度高の問題、2 つの重要度中の問題、2 つの重要度低の問題に対して脆弱です。Node.js 18.x のリリースラインは、1 つの重要度高の問題と 2 つの重要度中の問題に対して脆弱です。Node.js 16.x のリリースラインは、1 つの重要度高の問題と 2 つの重要度中の問題に対して脆弱です。(CVE-2023-32002、CVE-2023-32559)

  - 「module.constructor.createRequire()」の使用により、ポリシーメカニズムをバイパスし、特定のモジュールの policy.json 定義外にモジュールが必要になる可能性があります。この脆弱性は、次のすべてのアクティブなリリースラインで実験的なポリシーメカニズムを使用しているすべてのユーザーに影響します。16.x、18.x、および 20.x。注意: この CVE が発行された時点では、このポリシーは Node.js の実験的な機能です。(CVE-2023-32006)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

検出

SUSE SLES12セキュリティ更新プログラム：nodejs16 (SUSE-SU-2023:3355-1)

critical Nessus プラグイン ID 179993

バージョン 1.2