リモートの Debian 10 ホストには、dla-3635 のアドバイザリに記載された脆弱性の影響を受けるパッケージがインストールされています。

  - browserify-sign は、ノードの暗号公開鍵関数の機能を複製するためのパッケージで、その多くは indutny/tls.js での Fedor Indutny 氏の作業に基づいています。[dsaVerify] 関数における上限チェックの問題により、攻撃者は、任意の公開鍵で正常に検証できる署名を構築でき、署名偽造攻撃を引き起こす可能性があります。ユーザー入力署名の DSA 検証を含む、このプロジェクトのすべての場所が、この脆弱性の影響を受けます。この問題には、バージョン 4.2.2でパッチが適用されています。(CVE-2023-46234)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

検出

Debian DLA-3635-1: node-browserify-sign - LTS セキュリティ更新

high Nessus プラグイン ID 184006

バージョン 1.2