検出

Debian dla-3776 : libnode-dev - セキュリティ更新

high Nessus プラグイン ID 192597

Language:

概要

リモートの Debian ホストにセキュリティ関連の更新プログラムがありません。

説明

リモートの Debian 10 ホストには、dla-3776 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

 - crypto.createDiffieHellman() から返された generateKeys() API 関数は、欠落している (または古い) 鍵のみを生成します。つまり、何も設定されていない場合にのみ、秘密鍵を生成します。ただし、この関数は setPrivateKey() の呼び出し後に対応する公開鍵を計算するためにも必要です。ただし、ドキュメントにはこの API 呼び出しは、秘密のおよび公開のディフィー・ヘルマン鍵値を生成すると記載されています。文書化された動作は実際の動作とは異なります。DiffieHellman がアプリケーションレベルのセキュリティの基礎として使用される可能性があるため、この相違により、これらの API を使用するアプリケーションでセキュリティの問題が簡単に発生する可能性があります。したがって、その影響は大きくなります。(CVE-2023-30590)

 - Node.js の脆弱性が特定されました。fetch() 関数を使用して信頼できない URL からコンテンツを取得する際に、リソース枯渇によるサービス拒否 (DoS) 攻撃を受ける可能性があります。この脆弱性は、Node.js の fetch() 関数が常に Brotli をデコードすることにより、攻撃者が信頼できない URL からコンテンツをフェッチする際にリソースを枯渇させる可能性があることが原因です。fetch() に渡された URL を制御する攻撃者がこの脆弱性を悪用して、メモリを使い果たし、システム設定によってはプロセスを終了させる可能性があります。(CVE-2024-22025)

 - crypto ライブラリの privateDecrypt() API の脆弱性により、PKCS#1 v1.5 パディングエラーの処理中に隠れたタイミングサイドチャネルが引き起こされました。この脆弱性により、有効な暗号文と無効な暗号文の復号化に、重大なタイミングの違いがあることが明らかになりました。特に API エンドポイントが Json Web Encryption メッセージを処理するシナリオでは、攻撃者がこの脆弱性をリモートで悪用して、キャプチャされた RSA 暗号文を復号したり、署名を偽造したりする可能性があるため、これは深刻な脅威となります。影響: この脆弱性を報告してくださった hkario 氏と、修正してくださった Michael Dawson 氏に感謝の意を表します。(CVE-2023-46809)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

libnode-dev パッケージをアップグレードしてください。

参考資料

https://security-tracker.debian.org/tracker/source-package/nodejs

https://security-tracker.debian.org/tracker/CVE-2023-30590

https://security-tracker.debian.org/tracker/CVE-2023-46809

https://security-tracker.debian.org/tracker/CVE-2024-22025

https://packages.debian.org/source/buster/nodejs

プラグインの詳細

深刻度: High

ID: 192597

ファイル名: debian_DLA-3776.nasl

バージョン: 1.0

タイプ: local

エージェント: unix

公開日: 2024/3/27

更新日: 2024/3/27

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Critical

スコア: 9.0

CVSS v2

リスクファクター: High

基本値: 7.8

現状値: 5.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:C/A:N

CVSS スコアのソース: CVE-2023-30590

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 6.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:debian:debian_linux:libnode-dev, p-cpe:/a:debian:debian_linux:libnode64, p-cpe:/a:debian:debian_linux:nodejs, p-cpe:/a:debian:debian_linux:nodejs-doc, cpe:/o:debian:debian_linux:10.0

必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2024/3/26

脆弱性公開日: 2023/6/20

参照情報

CVE: CVE-2023-30590, CVE-2023-46809, CVE-2024-22025