Debian dla-4003 : node-postcss - セキュリティ更新

medium Nessus プラグイン ID 213394

Language:

概要

リモートの Debian ホストにセキュリティ関連の更新プログラムがありません。

説明

リモートの Debian 11 ホストには、dla-4003 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

- ------------------------------------------------------------------------- Debian LTS アドバイザリ DLA-4003-1 [email protected] https://www.debian.org/lts/security/Bastien Roucaris 2024 年 12 月 26 日 https://wiki.debian.org/LTS
- -------------------------------------------------------------------------

パッケージ : node-postcss バージョン : 8.2.1+~cs5.3.23-8+deb11u1 CVE ID : CVE-2021-23566 CVE-2023-44270 CVE-2024-55565 Debian バグ : 1053282

JS プラグインでスタイルを変換するためのツールである node-postcss の複数の脆弱性が修正されました。

CVE-2021-23566

nanoid パッケージは、最後に生成された id の再現を可能にする valueOf() 関数を介した情報漏えいに脆弱です。

CVE-2023-44270

脆弱性は、PostCSS を使用して外部の信頼できない CSS を解析する linters に影響を与えます。攻撃者は、PostCSS によって CSS コメントとして解析される部分を含むように CSS を準備することができます。PostCSS による処理後、コメントに含まれているにもかかわらず、CSS ノード (ルール、プロパティ) の PostCSS 出力に含められます。

CVE-2024-55565

nanoid パッケージがサイズパラメーターの非整数値を不適切に処理します。

Debian 11 bullseye においては、これらの問題はバージョン 8.2.1+~cs5.3.23-8+deb11u1 で修正されました。

お使いの node-postcss パッケージをアップグレードすることを推奨します。

node-postcss の詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください:
https://security-tracker.debian.org/tracker/node-postcss

Debian LTS セキュリティアドバイザリに関する詳細、これらの更新をシステムに適用する方法、およびよくある質問については、こちらを参照してください。https://wiki.debian.org/LTS

Tenable は、前述の説明ブロックを Debian セキュリティアドバイザリから直接抽出しました。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。