MiracleLinux 9nodejs:20AXSA:2024-7667:01
critical Nessus プラグイン ID 293031
Language:
概要
リモート MiracleLinux ホストに 1 つ以上のセキュリティ更新がありません。説明
リモートのMiracleLinux 9ホストには、AXSA:2024-7667:01アドバイザリに記載されているとおり、複数の脆弱性の影響を受けるパッケージがインストールされています。* nodejs: PKCS#1 v1.5 パディングに対する Bleichenbacher 攻撃のタイミングバリアントに脆弱です (Marvin 氏) (CVE-2023-46809)
* nodejs: 際限のないチャンク拡張のある未処理の HTTP リクエストの読み取りにより、DoS 攻撃が引き起こされます (CVE-2024-22019)
* nodejs: Linux 機能を通じたコードの注入と権限昇格 (CVE-2024-21892)
* nodejs: バッファ内部へのモンキーパッチングよるパストラバーサル (CVE-2024-21896)
* nodejs: 不適切なパストラバーサルシーケンスのサニタイズによる複数のアクセス許可モデルのバイパス (CVE-2024-21891)
* nodejs: --allow-fs-read および --allow-fs-write でのワイルドカードの不適切な処理 (CVE-2024-21890)
* nodejssetuid() は、io_uring のためにすべての権限をドロップしませんCVE-2024-22017CVE-2023-46809
**予約**この候補は、新しいセキュリティの問題を発表するときに、それを使う組織または個人によって予約されています。候補が公表されるときに、この候補の詳細が提供されます。
CVE-2024-21890 Node.js Permission Model は、ワイルドカードがファイルパスの最後の文字としてのみ使用されるべきであることをドキュメントで説明していません。例: ``` --allow-fs-read=/home/node/.ssh/*.pub ``` は「pub」を無視し、「.ssh/」より後のすべてへのアクセスを許可します。この誤解を招く文書は、Node.js 20 および Node.js 21 で実験的なアクセス許可モデルを使用しているすべてのユーザーに影響を与えます。注意: この CVE が発行された時点では、このアクセス許可は Node.js の実験的な機能です。
CVE-2024-21891 Node.js は、node:fs 関数に提供されたパスを正規化するために複数のビルトインユーティリティ関数に依存しています。これは、ユーザー定義の実装で上書きされ、パストラバーサル攻撃を通じてファイルシステム権限モデルのバイパスにつながる可能性があります。この脆弱性は、Node.js 20 および Node.js 21 で実験的なアクセス許可モデルを使用しているすべてのユーザーに影響を与えます。注意: この CVE が発行された時点では、このアクセス許可は Node.js の実験的な機能です。
CVE-2024-21892 Linuxでは、プロセスがCAP_NET_BIND_SERVICEのみを除いて昇格された権限で実行されている間は、権限のないユーザーによって設定された可能性がある特定の環境変数をNode.jsは無視します。この例外の実装にバグがあるため、特定の他の機能が設定されている場合でも、Node.js がこの例外を不適切に適用します。これにより、権限のないユーザーが、プロセスの昇格した権限を継承するコードを挿入する可能性があります。
CVE-2024-21896 権限モデルは、ユーザーが指定したパスで path.resolve() を呼び出すことにより、パストラバーサル攻撃に対して自身を保護します。パスが Buffer として扱われる場合には、実装は Buffer.from() を使用して、path.resolve() の結果から Buffer を取得します。Buffer internals (Buffer.prototype.utf8Write) にモンキーパッチングを行うことで、アプリケーションが path.resolve() の結果を変更する可能性があり、これは、パストラバーサルの脆弱性につながります。この脆弱性は、Node.js 20 および Node.js 21 で実験的なアクセス許可モデルを使用しているすべてのユーザーに影響を与えます。注意: この CVE が発行された時点では、このアクセス許可は Node.js の実験的な機能です。
CVE-2024-22017 setuid() を呼び出す前に初期化された場合、setuid() は libuv の内部 io_uring 操作に影響を与えません。
これにより、プロセスは、setuid() の呼び出しによって権限がドロップされた可能性があるにもかかわらず、権限の必要な操作を実行できます。この脆弱性は、Node.js 18.18.0、Node.js 20.4.0 、および Node.js 21 以降のバージョンを使用しているすべてのユーザーに影響を与えます。
CVE-2024-22019 Node.js HTTPサーバーの脆弱性により、攻撃者が特別に細工されたHTTPリクエストをチャンクされたエンコードで送信し、リソースの枯渇とサービス拒否DoSを引き起こす可能性があります。サーバーは、チャンク拡張バイトに制限がないことを悪用して、1 つの接続から無制限にバイトを読み取ります。この問題により、タイムアウトや本文サイズ制限などの標準的な保護をバイパスして、CPU とネットワークの帯域幅を消費させる可能性があります。
モジュール名nodejs ストリーム名20
Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: Critical
ID: 293031
ファイル名: miracle_linux_AXSA-2024-7667.nasl
バージョン: 1.1
タイプ: local
公開日: 2026/1/20
更新日: 2026/1/20
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
Vendor
Vendor Severity: High
CVSS v2
リスクファクター: Critical
基本値: 10
現状値: 7.4
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2024-21896
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/o:miracle:linux:9, p-cpe:/a:miracle:linux:nodejs-devel, p-cpe:/a:miracle:linux:nodejs, p-cpe:/a:miracle:linux:nodejs-docs, p-cpe:/a:miracle:linux:nodejs-full-i18n, p-cpe:/a:miracle:linux:nodejs-debugsource, p-cpe:/a:miracle:linux:npm, p-cpe:/a:miracle:linux:nodejs-packaging-bundler, p-cpe:/a:miracle:linux:nodejs-packaging, p-cpe:/a:miracle:linux:nodejs-nodemon
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2024/4/11
脆弱性公開日: 2024/2/14
参照情報
CVE: CVE-2023-46809, CVE-2024-21890, CVE-2024-21891, CVE-2024-21892, CVE-2024-21896, CVE-2024-22017, CVE-2024-22019