概要
リモートの Debian ホストにセキュリティ関連の更新プログラムがありません。
説明
リモートの Debian 11 ホストには、dla-3886 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。
- ------------------------------------------------------------------------- Debian LTS アドバイザリ DLA-3886-1 [email protected] https://www.debian.org/lts/security/Bastien Roucaris 2024 年 9 月 14 日 https://wiki.debian.org/LTS
- -------------------------------------------------------------------------
パッケージ: nodejs バージョン: 12.22.12~dfsg-1~deb11u5 CVE ID: CVE-2023-30589 CVE-2023-30590 CVE-2023-32559 CVE-2023-46809 CVE-2024-22019 CVE-2024-22025 CVE-2024-27982 CVE-2024-27983
Web ブラウザ外 (サーバー側) で JavaScript コードを実行する Node.js の JavaScript ランタイム環境が脆弱でした。
CVE-2023-30589
Node の http モジュールの llhttp パーサーは、HTTP リクエストの区切りに CRLF シーケンスを厳密には使用しません。これにより、HTTP リクエストスマグリングが引き起こされる可能性があります (HRS)。CR 文字 (LF なし) は、llhttp パーサーの HTTP ヘッダーフィールドを区切るのに十分です。
RFC7230 セクション 3 によると、CRLF シーケンスだけが各ヘッダーフィールドを区切る必要があります。
CVE-2023-30590
crypto.createDiffieHellman() から返された generateKeys() API 関数は、欠落している (または古い) 鍵のみを生成します。つまり、何も設定されていない場合にのみ、秘密鍵を生成します。ただし、この関数は setPrivateKey() の呼び出し後に対応する公開鍵を計算するためにも必要です。ただし、ドキュメントにはこの API 呼び出しは、秘密のおよび公開のディフィー・ヘルマン鍵値を生成すると記載されています。文書化されている動作は実際の動作と大きく異なり、この違いがセキュリティ問題につながりやすくなっています。
CVE-2023-32559
実験的なポリシーメカニズムに、権限昇格の脆弱性が存在します。
廃止予定の API「process.binding()」の使用により、リモートの攻撃者が、内部モジュールを要求することでポリシーメカニズムをバイパスし、最終的に「process.binding(「spawn_sync」)」を利用して、「policy.json」ファイルで定義された制限外で任意のコードを実行する可能性があります
CVE-2023-46809
秘密鍵を使用して RSA 復号化を実行する際に PCKS #1 v1.5 パディングが許可されている場合、Node.js バージョンは Marvin 攻撃に脆弱です。
CVE-2024-22019
Node.js の HTTP サーバーの脆弱性により、攻撃者はチャンクエンコーディングを使用した特別に細工された HTTP リクエストを送信し、リソースの枯渇とサービス拒否 (DoS) を引き起こす可能性があります。
サーバーは、チャンク拡張バイトに制限がないことを悪用して、1 つの接続から無制限にバイトを読み取ります。
この問題により、タイムアウトや本文サイズ制限などの標準的な保護をバイパスして、CPU とネットワークの帯域幅を消費させる可能性があります。
CVE-2024-22025
Node.js の脆弱性が特定されました。fetch() 関数を使用して信頼できない URL からコンテンツを取得する際に、リソース枯渇によるサービス拒否 (DoS) 攻撃を受ける可能性があります。
この脆弱性は、Node.js の fetch() 関数が常に Brotli をデコードすることにより、攻撃者が信頼できない URL からコンテンツをフェッチする際にリソースを枯渇させる可能性があることが原因です。
fetch() に渡された URL を制御する攻撃者がこの脆弱性を悪用して、メモリを使い果たし、システム設定によってはプロセスを終了させる可能性があります。
CVE-2024-27982
不正なヘッダーは、HTTP リクエストスマグリングが引き起こされる可能性があります。具体的には、コンテンツ長ヘッダーの前にスペースがある場合、それは正しく解釈されず、攻撃者が最初のリクエストの本文内に 2 番目のリクエストを忍び込ませることができます。
CVE-2024-27983
攻撃者は、数個の HTTP/2 フレームを含んだ少量の HTTP/2 フレームパケットを送信することで、Node.js HTTP/2 サーバーを完全に利用不能にすることができます。リセット後に HTTP/2 CONTINUATION フレームのあるヘッダーがサーバーに送信され、TCP 接続がクライアントにより突然閉じられた場合、nghttp2 メモリに一部のデータを残すことが可能です。これにより、ヘッダーフレームの処理中 (およびメモリに保存中) に Http2Session デストラクターがトリガーされ、競合状態が発生します。
Debian 11 bullseye においては、これらの問題はバージョン 12.22.12~dfsg-1~deb11u5 で修正されました。
お使いの nodejs パッケージをアップグレードすることを推奨します。
nodejs の詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください。
https://security-tracker.debian.org/tracker/nodejs
Debian LTS セキュリティアドバイザリに関する詳細、これらの更新をシステムに適用する方法、およびよくある質問については、こちらを参照してください。https://wiki.debian.org/LTS
Tenable は、前述の説明ブロックを Debian セキュリティアドバイザリから直接抽出しました。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
libnode-dev パッケージをアップグレードしてください。
プラグインの詳細
ファイル名: debian_DLA-3886.nasl
エージェント: unix
サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:C/A:N
ベクトル: CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: cpe:/o:debian:debian_linux:11.0, p-cpe:/a:debian:debian_linux:libnode72, p-cpe:/a:debian:debian_linux:nodejs-doc, p-cpe:/a:debian:debian_linux:libnode-dev, p-cpe:/a:debian:debian_linux:nodejs
必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
エクスプロイトの容易さ: Exploits are available