Rocky Linux 8 : nodejs:20 (RLSA-2023:7205)

critical Nessus プラグイン ID 186401

概要

リモート Rocky Linux ホストに 1 つ以上のセキュリティ更新がありません。

説明

リモート Rocky Linux 8 ホストに、RLSA-2023:7205 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

- Node.js のポリシー機能が信頼できるマニフェストに対してリソースの整合性をチェックするとき、アプリケーションが操作を傍受し、偽造されたチェックサムをノードのポリシー実装に返すため、整合性チェックを効果的に無効にする可能性があります。影響: この脆弱性は、次のすべてのアクティブなリリースラインで実験的なポリシーメカニズムを使用しているすべてのユーザーに影響します。18.x、および 20.x。注意: この CVE が発行された時点では、このポリシーメカニズムは Node.js の実験的な機能です。(CVE-2023-38552)

- コミット 205f1e6 では、以前に開示された脆弱性 (CVE-2023-30584) はパッチが不十分でした。この実装は、アプリケーションが組み込みのユーティリティ関数をユーザー定義の実装で上書きすることを防いでいないため、新しいパストラバーサルの脆弱性が発生します。注意: この CVE が発行された時点では、このアクセス許可は Node.js の実験的な機能です。(CVE-2023-39331)

- さまざまな「node:fs」関数では、文字列または「Uint8Array」オブジェクトとしてパスを指定できます。Node.js 環境では、[Buffer] クラスが [Uint8Array] クラスを拡張します。Node.js は、文字列 (CVE-2023-30584 を参照) および [Buffer] オブジェクト (CVE-2023-32004 を参照) を通じたパストラバーサルを防止しますが、[Buffer] [Uint8Array] 以外のオブジェクトを通じたパストラバーサルは防止しません。これは、「Buffer」オブジェクトのみを参照していた CVE-2023-32004 とは異なります。
ただし、この脆弱性は [Buffer] の代わりに [Uint8Array] を使っても同じパターンになります。注意: この CVE が発行された時点では、このアクセス許可は Node.js の実験的な機能です。
(CVE-2023-39332)

- HTTP/2 プロトコルでは、リクエストのキャンセルによって多数のストリームを迅速にリセットできるため、サービス拒否 (サーバーリソースの消費) を引き起こすことができます。これは、2023 年 8 月から 10 月まで、野放しで悪用されていました。(CVE-2023-44487)

- Undici は、Node.js 用にゼロから書かれた HTTP/1.1 クライアントです。バージョン 5.26.2 より前では、Undici はクロスオリジンリダイレクトで Authorization ヘッダーをすでにクリアしていましたが、[Cookie] ヘッダーはクリアしていませんでした。設計上、[cookie] ヘッダーは禁止されたリクエストヘッダーであり、ブラウザ環境では RequestInit.headers で設定できません。undici は仕様よりも自由にヘッダーを処理するため、仕様が行った想定と、undici のフェッチの実装との間に断絶がありました。このため、サードパーティのサイトに誤ってクッキーが漏洩したり、リダイレクトターゲットを制御できる悪質な攻撃者 (オープンリダイレクターなど) がクッキーをサードパーティのサイトに漏洩したりする可能性があります。これはバージョン 5.26.2 でパッチが適用されました。既知の回避策はありません。(CVE-2023-45143)

- インポートされた WebAssembly モジュールのエクスポート名を悪意を持って細工することで、JavaScript コードを注入できます。注入されたコードは、あたかも WebAssembly モジュールが JavaScript モジュールであるかのように、WebAssembly モジュール自体がアクセスできないデータや機能にアクセスできる可能性があります。影響: この問題を報告してくれた dittyroma 氏に、および修正してくれた Tobias Nieen 氏に感謝の意を表します。(CVE-2023-39333)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける nodejs-nodemon、nodejs-packaging、nodejs-packaging-bundler パッケージを更新してください。

参考資料

https://errata.rockylinux.org/RLSA-2023:7205

https://bugzilla.redhat.com/show_bug.cgi?id=2242803

https://bugzilla.redhat.com/show_bug.cgi?id=2244104

https://bugzilla.redhat.com/show_bug.cgi?id=2244413

https://bugzilla.redhat.com/show_bug.cgi?id=2244414

https://bugzilla.redhat.com/show_bug.cgi?id=2244415

https://bugzilla.redhat.com/show_bug.cgi?id=2244418

プラグインの詳細

深刻度: Critical

ID: 186401

ファイル名: rocky_linux_RLSA-2023-7205.nasl

バージョン: 1.1

タイプ: local

公開日: 2023/11/28

更新日: 2024/2/9

サポートされているセンサー: Nessus Agent, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.9

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 8.3

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2023-39332

CVSS v3

リスクファクター: Critical

基本値: 9.8

現状値: 9.1

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:rocky:linux:nodejs-packaging-bundler, p-cpe:/a:rocky:linux:nodejs-nodemon, p-cpe:/a:rocky:linux:nodejs-packaging, cpe:/o:rocky:linux:8

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/RockyLinux/release, Host/RockyLinux/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2023/11/28

脆弱性公開日: 2023/10/10

CISA の既知の悪用された脆弱性の期限日: 2023/10/31

参照情報

CVE: CVE-2023-38552, CVE-2023-39331, CVE-2023-39332, CVE-2023-39333, CVE-2023-44487, CVE-2023-45143