CentOS 8: nodejs: 18 (CESA-2023: 5869)

high Nessus プラグイン ID 183343

概要

リモートの CentOS ホストに 1 つ以上のセキュリティ更新プログラムが欠落しています。

説明

リモートの CentOS Linux 8 ホストにインストールされているパッケージは、CESA-2023: 5869 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

- Node.js のポリシー機能が信頼できるマニフェストに対してリソースの整合性をチェックするとき、アプリケーションが操作を傍受し、偽造されたチェックサムをノードのポリシー実装に返すため、整合性チェックを効果的に無効にする可能性があります。影響: この脆弱性は、次のすべてのアクティブなリリースラインで実験的なポリシーメカニズムを使用しているすべてのユーザーに影響します。18.x および 20.x。注意: この CVE が発行された時点では、このポリシーメカニズムは Node.js の実験的な機能です。(CVE-2023-38552)

- インポートされた WebAssembly モジュールのエクスポート名を悪意を持って細工することで、JavaScript コードを注入できます。注入されたコードは、あたかも WebAssembly モジュールが JavaScript モジュールであるかのように、WebAssembly モジュール自体がアクセスできないデータや機能にアクセスできる可能性があります。影響: この問題を報告してくれた dittyroma 氏に、および修正してくれた Tobias Nieen 氏に感謝の意を表します。(CVE-2023-39333)

- HTTP/2 プロトコルでは、リクエストのキャンセルによって多数のストリームを迅速にリセットできるため、サービス拒否 (サーバーリソースの消費) を引き起こすことができます。これは、2023 年 8 月から 10 月まで、野放しで悪用されていました。(CVE-2023-44487)

- Undici は、Node.js 用にゼロから書かれた HTTP/1.1 クライアントです。バージョン 5.26.2 より前では、Undici はクロスオリジンリダイレクトで Authorization ヘッダーをすでにクリアしていましたが、[Cookie] ヘッダーはクリアしていませんでした。設計上、[cookie] ヘッダーは禁止されたリクエストヘッダーであり、ブラウザ環境では RequestInit.headers で設定できません。undici は仕様よりも自由にヘッダーを処理するため、仕様が行った想定と、undici のフェッチの実装との間に断絶がありました。このため、サードパーティのサイトに誤ってクッキーが漏洩したり、リダイレクトターゲットを制御できる悪意のある攻撃者 (オープンリダイレクターなど) がクッキーをサードパーティのサイトに漏洩したりする可能性があります。これはバージョン 5.26.2 でパッチが適用されました。既知の回避策はありません。(CVE-2023-45143)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける nodejs-packaging や nodejs-packaging-bundler パッケージを更新してください。

参考資料

https://access.redhat.com/errata/RHSA-2023:5869

プラグインの詳細

深刻度: High

ID: 183343

ファイル名: centos8_RHSA-2023-5869.nasl

バージョン: 1.4

タイプ: local

エージェント: unix

公開日: 2023/10/19

更新日: 2024/2/23

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

基本値: 7.8

現状値: 6.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:C/A:N

CVSS スコアのソース: CVE-2023-38552

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C

脆弱性情報

CPE: cpe:/o:centos:centos:8-stream, p-cpe:/a:centos:centos:nodejs-packaging-bundler, p-cpe:/a:centos:centos:nodejs-packaging

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/CentOS/release, Host/CentOS/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2023/10/18

脆弱性公開日: 2023/10/10

CISA の既知の悪用された脆弱性の期限日: 2023/10/31

参照情報

CVE: CVE-2023-38552, CVE-2023-39333, CVE-2023-44487, CVE-2023-45143

IAVB: 2023-B-0083-S

RHSA: 2023:5869