検出

Fedora 38 : nodejs20 (2023-4d2fd884ea)

critical Nessus プラグイン ID 183909

Language:

概要

リモートの Fedora ホストに 1 つ以上のセキュリティ更新プログラムがありません。

説明

リモートの Fedora 38 ホストには、FEDORA-2023-4d2fd884ea のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

 - Node.js のポリシー機能が信頼できるマニフェストに対してリソースの整合性をチェックするとき、アプリケーションが操作を傍受し、偽造されたチェックサムをノードのポリシー実装に返すため、整合性チェックを効果的に無効にする可能性があります。影響: この脆弱性は、次のすべてのアクティブなリリースラインで実験的なポリシーメカニズムを使用しているすべてのユーザーに影響します。18.x、および 20.x。注意: この CVE が発行された時点では、このポリシーメカニズムは Node.js の実験的な機能です。(CVE-2023-38552)

 - コミット 205f1e6 では、以前に開示された脆弱性 (CVE-2023-30584) はパッチが不十分でした。この実装は、アプリケーションが組み込みのユーティリティ関数をユーザー定義の実装で上書きすることを防いでいないため、新しいパストラバーサルの脆弱性が発生します。注意: この CVE が発行された時点では、このアクセス許可は Node.js の実験的な機能です。(CVE-2023-39331)

 - さまざまな「node:fs」関数では、文字列または「Uint8Array」オブジェクトとしてパスを指定できます。Node.js 環境では、[Buffer] クラスが [Uint8Array] クラスを拡張します。Node.js は、文字列 (CVE-2023-30584 を参照) および [Buffer] オブジェクト (CVE-2023-32004 を参照) を通じたパストラバーサルを防止しますが、[Buffer] [Uint8Array] 以外のオブジェクトを通じたパストラバーサルは防止しません。これは、「Buffer」オブジェクトのみを参照していた CVE-2023-32004 とは異なります。
 ただし、この脆弱性は [Buffer] の代わりに [Uint8Array] を使っても同じパターンになります。注意: この CVE が発行された時点では、このアクセス許可は Node.js の実験的な機能です。
 (CVE-2023-39332)

 - HTTP/2 プロトコルでは、リクエストのキャンセルによって多数のストリームを迅速にリセットできるため、サービス拒否 (サーバーリソースの消費) を引き起こすことができます。これは、2023 年 8 月から 10 月まで、野放しで悪用されていました。(CVE-2023-44487)

 - Undici は、Node.js 用にゼロから書かれた HTTP/1.1 クライアントです。バージョン 5.26.2 より前では、Undici はクロスオリジンリダイレクトで Authorization ヘッダーをすでにクリアしていましたが、[Cookie] ヘッダーはクリアしていませんでした。設計上、[cookie] ヘッダーは禁止されたリクエストヘッダーであり、ブラウザ環境では RequestInit.headers で設定できません。undici は仕様よりも自由にヘッダーを処理するため、仕様が行った想定と、undici のフェッチの実装との間に断絶がありました。このため、サードパーティのサイトに誤ってクッキーが漏洩したり、リダイレクトターゲットを制御できる悪意のある攻撃者 (オープンリダイレクターなど) がクッキーをサードパーティのサイトに漏洩したりする可能性があります。これはバージョン 5.26.2 でパッチが適用されました。既知の回避策はありません。(CVE-2023-45143)

 - インポートされた WebAssembly モジュールのエクスポート名を悪意を持って細工することで、JavaScript コードを注入できます。注入されたコードは、あたかも WebAssembly モジュールが JavaScript モジュールであるかのように、WebAssembly モジュール自体がアクセスできないデータや機能にアクセスできる可能性があります。影響: この問題を報告してくれた dittyroma 氏に、および修正してくれた Tobias Nieen 氏に感謝の意を表します。(CVE-2023-39333)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける 1:nodejs20 package パッケージを更新してください。

参考資料

https://bodhi.fedoraproject.org/updates/FEDORA-2023-4d2fd884ea

プラグインの詳細

深刻度: Critical

ID: 183909

ファイル名: fedora_2023-4d2fd884ea.nasl

バージョン: 1.2

タイプ: local

エージェント: unix

公開日: 2023/10/26

更新日: 2024/4/29

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 8.3

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2023-39332

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 9.1

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C

脆弱性情報

CPE: cpe:/o:fedoraproject:fedora:38, p-cpe:/a:fedoraproject:fedora:nodejs20

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2023/10/17

脆弱性公開日: 2023/10/10

CISA の既知の悪用された脆弱性の期限日: 2023/10/31

参照情報

CVE: CVE-2023-38552, CVE-2023-39331, CVE-2023-39332, CVE-2023-39333, CVE-2023-44487, CVE-2023-45143