Rocky Linux 8nodejs:12RLSA-2020:4272

high Nessus プラグイン ID 184572

Language:

概要

リモートの Rocky Linux ホストに、1 つ以上のセキュリティ更新がありません。

説明

リモートのRocky Linux 8ホストには、RLSA-2020:4272アドバイザリに記載されているとおり、複数の脆弱性の影響を受けるパッケージがインストールされています。

6.14.6より前のバージョンのnpm CLIは、ログファイルを通じた情報漏洩の脆弱性に脆弱です。CLI は、<protocol>://[<user>[:<password>]@]<hostname>[:<port>][:][/]<path> のような URL をサポートしています。パスワードの値は編集されず、stdoutおよび生成されたログファイルに出力されます。（CVE-2020-15095）

4.2.1以前のdot-prop npmパッケージおよび5.1.1以前のバージョン5.xにおけるプロトタイプの汚染の脆弱性により、攻撃者はJavaScript言語のオブジェクトなどの構造に任意のプロパティを追加できるようになります。
（CVE-2020-8116）

- Node.js < 12.18.4および < 14.11は、HTTP同期解除攻撃を実行し、悪意のあるペイロードを、疑いを持たないユーザーに配信するために悪用される可能性があります。攻撃者はペイロードを細工し、下層システムのアーキテクチャに応じて、ユーザーセッションのハイジャック、クッキーのポイズニング、クリックジャッキング、およびその他の多数の攻撃を行うことができます。HTTPヘッダー名のキャリアリターンシンボルの処理におけるバグにより、攻撃が可能でした。（CVE-2020-8201）

- Node.js内で使用されるlibuv < 10.22.1、< 12.18.4、および< 14.9.0のrealpathの実装がバッファサイズを誤って決定していました。そのため、解決されたパスが256バイトを超える場合にバッファオーバーフローが起きる可能性があります。（CVE-2020-8252）

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。