Debian dla-4242 : libjs-angularjs - セキュリティ更新

medium Nessus プラグイン ID 242412

Language:

概要

リモートの Debian ホストにセキュリティ関連の更新プログラムがありません。

説明

リモートのDebian 11ホストには、dla-4242アドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

- -------------------------------------------------- -------------------------- Debian LTS アドバイザリ DLA-4242-1 [email protected] https://www.debian.org/lts/security/Bastien Roucaris 2025 年 7 月 20 日 https://wiki.debian.org/LTS
- -------------------------------------------------------------------------

パッケージ angular.js バージョン 1.8.3-1+deb12u1~deb11u1 CVE ID CVE-2022-25844 CVE-2023-26116 CVE-2023-26117 CVE-2023-26118 CVE-2024-8372 CVE-2024-8373 CVE-2024-21490 CVE-2025-0716 CVE-2025-2336 Debian バグ #1014779 #1036694 #1088804 #1088805 #1104485

一般的な JavaScript フレームワークである angular.js は、複数の脆弱性の影響を受けていました。

CVE-2022-25844

posPre: 非常に高い値を持つ NUMBER_FORMATS.PATTERNS[1].posPre のパラメーターを割り当てることを可能にするカスタムロケールルールを提供することで、正規表現のサービス拒否の脆弱性ReDoSが見つかりました。

CVE-2023-26116

安全でない正規表現の使用により、angular.copy() ユーティリティ関数を通じて正規表現のサービス拒否ReDoSが見つかりました。

CVE-2023-26117

安全でない正規表現の使用により、 $resource サービス経由で正規表現のサービス拒否ReDoSが見つかりました。

CVE-2023-26118

input[url] 機能の安全でない正規表現が使用されているため、 <input type=url> 要素を介して正規表現のサービス拒否ReDoSが見つかりました。
この脆弱性は、注意深く細工された大量の入力によって悪用される可能性があり、壊滅的なバックトラックを引き起こす可能性があります。

CVE-2024-8372

AngularJS の「srcset」属性の値を不適切にサニタイズすることで、攻撃者が共通のイメージソース制限をバイパスし、これがコンテンツなりすましの形式につながる可能性もあります。

CVE-2024-8373

AngularJS の <source> HTML 要素の [srcset] 属性の値の不適切なサニタイズにより、攻撃者が共通のイメージソース制限をバイパスし、ある種のコンテンツなりすましを引き起こす可能性もあります。

CVE-2024-21490

ng-srcset ディレクティブの値を分割するために使用される正規表現は、バックトラッキングによる超線形ランタイムに対して脆弱です。注意深く細工された大規模な入力により、これは壊滅的なバックトラッキングを発生させ、サービス拒否を引き起こす可能性があります。

CVE-2025-0716

AngularJS の「<image>」の SVG 要素の「href」および「xlink:href」属性の値の不適切なサニタイズにより、攻撃者が一般画像ソース制限をバイパスする可能性があります。これは、コンテンツなりすましのフォームにつながる可能性があります。

CVE-2025-2336

ngSanitize モジュールで不適切なサニタイズの脆弱性が見つかりました。これにより、攻撃者は、画像要素に通常適用される共通画像ソース制限をバイパスすることができます。このバイパスは、さらにコンテンツのなりすましの形式につながる可能性があります。同様に、大きすぎる画像または読み込みが遅い画像を使用すると、アプリケーションのパフォーマンスと動作が悪影響を受ける可能性があります。

Debian 11 Bullseyeでは、これらの問題はバージョン1.8.3-1+deb12u1~deb11u1で修正されました。

angular.jsパッケージをアップグレードすることをお勧めします。

angular.js の詳細なセキュリティステータスについては、次のセキュリティ追跡ページを参照してください
https://security-tracker.debian.org/tracker/angular.js

Debian LTS セキュリティアドバイザリに関する詳細、これらの更新をシステムに適用する方法、およびよくある質問については、こちらを参照してください。https://wiki.debian.org/LTS

Tenable は、前述の説明ブロックを Debian セキュリティアドバイザリから直接抽出しました。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。