Amazon Linux 2023 : nodejs22、nodejs22-devel、nodejs22-full-i18n (ALAS2023-2026-1465)
high Nessus プラグイン ID 301342
Language:
概要
リモートの Amazon Linux 2023 ホストに、セキュリティ更新プログラムがありません。説明
したがって、ALAS2023-2026-1465 のアドバイザリに記載されている複数の脆弱性の影響を受けます。1.1.11/2.0.1/3.0.0/4.0.0までの juliangruber brace-expansion に脆弱性が見つかりました。問題があると分類されました。ファイル index.js の関数 expand はこの問題の影響を受けます。この操作により、正規表現が非効率的に複雑になります。攻撃がリモートで起動される可能性があります。攻撃の複雑性はかなり高いものです。この脆弱性の悪用は困難であることが知られています。このエクスプロイトは一般に公開されており、使用される可能性があります。バージョン 1.1.12、 2.0.2、 3.0.1 、 4.0.1 にアップグレードすると、この問題に対処できます。
パッチの名前は、a5b98a4f30d7813266b221435e1eaaf25a1b0ac5 です。影響を受けるコンポーネントをアップグレードすることが推奨されます。(CVE-2025-5889)
node-tarはNode.jsのTarです。node-tar ライブラリ<= 7.5.2は、preservePaths が false である場合デフォルトの安全な動作、Link ハードリンクおよび SymbolicLink エントリのリンクパスのサニタイズに失敗します。これにより、悪意のあるアーカイブが抽出ルート制限をバイパスし、ハードリンクを介して任意のファイルの上書きや絶対シンボリックリンクターゲットを介してシンボリックリンクポイズニングを引き起こす可能性があります。この脆弱性は 7.5.3 で修正されています。
(CVE-2026-23745)
Node.js 用の Tar である node-tar に、 7.5.3までのバージョンの競合状態脆弱性があります。これは、「path-reservations」システムで Unicode パスの競合を不完全に処理していることが原因です。大文字と小文字を区別しないまたは正規化を区別しないファイルシステムmacOS APFS などでテストされているでは、ライブラリが競合するパス例「ss」と「ss」をロックできず、それらを並列処理できます。これにより、ライブラリの内部の同時性保護がバイパスされ、競合状態を介してシンボリックリンクポイズニング攻撃が可能になります。ライブラリは「Path reserves」システムを使用して、同じパスに対するメタデータのチェックおよびファイル操作が確実にシリアル化されるようにします。これにより、あるエントリが別のエントリを同時に上書きする可能性のある競合状態を回避できます。これは、任意のファイルの上書きを可能にする競合状態です。この脆弱性は、macOSAPFS/HFS+でnode-tarを使用するユーザーとシステムに影響します。「NFD」Unicode 正規化で「ss」と「ss」が異なるを使用するために、競合するパスの順序が、Unicode 正規化を無視するファイルシステム下で適切に保存されません例APFS「ss」が inode を引き起こす「ss」との衝突)。これにより、攻撃者は悪意のある tar アーカイブ内で競合するファイル名を使用して、内部並列化ロック「Path reserves」を回避することができます。バージョン 7.5.4 のパッチでは、ターゲットファイルシステムの動作例「NFKD」、それに続く最初の「toLocaleLowerCase('en')」、「toLocaleUpperCase(」の順) に一致する正規化形式を使用するように「path-reservations.js」を更新していますen」を元に戻します。
回避策として、すぐにアップグレードできないユーザー、および「node-tar」を使用して任意の tarball データを抽出しているユーザーは、すべての「SymbolicLink」エントリnpm が行うようにフィルターで除外し、このファイルシステムのエントリ名を介した任意のファイル書き込みに対して防御する必要があります。発見しました。CVE-2026-23950
Tenable は、前述の記述ブロックをテスト済み製品のセキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
「dnf update nodejs22 --releasever 2023.10.20260302」または「dnf update --advisory ALAS2023-2026-1465 --releasever 2023.10.20260302」を実行して、お使いのシステムを更新してください。参考資料
https://alas.aws.amazon.com/faqs.html
https://explore.alas.aws.amazon.com/CVE-2025-5889.html
https://explore.alas.aws.amazon.com/CVE-2026-23745.html
プラグインの詳細
深刻度: High
ID: 301342
ファイル名: al2023_ALAS2023-2026-1465.nasl
バージョン: 1.1
タイプ: local
エージェント: unix
公開日: 2026/3/6
更新日: 2026/3/6
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.0
CVSS v2
リスクファクター: Low
基本値: 2.1
現状値: 1.6
ベクトル: CVSS2#AV:N/AC:H/Au:S/C:N/I:N/A:P
CVSS スコアのソース: CVE-2025-5889
CVSS v3
リスクファクター: Medium
基本値: 6.1
現状値: 5.5
ベクトル: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
CVSS スコアのソース: CVE-2026-23745
CVSS v4
リスクファクター: High
Base Score: 8.2
Threat Score: 6.8
Threat Vector: CVSS:4.0/E:P
Vector: CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:L/VA:N/SC:H/SI:L/SA:N
CVSS スコアのソース: CVE-2026-23745
脆弱性情報
CPE: p-cpe:/a:amazon:linux:nodejs22-debugsource, p-cpe:/a:amazon:linux:nodejs22-libs-debuginfo, p-cpe:/a:amazon:linux:v8-12.4-devel, p-cpe:/a:amazon:linux:nodejs22-docs, p-cpe:/a:amazon:linux:nodejs22-devel, p-cpe:/a:amazon:linux:nodejs22-libs, p-cpe:/a:amazon:linux:nodejs22-npm, p-cpe:/a:amazon:linux:nodejs22, p-cpe:/a:amazon:linux:nodejs22-full-i18n, cpe:/o:amazon:linux:2023, p-cpe:/a:amazon:linux:nodejs22-debuginfo
必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2026/3/5
脆弱性公開日: 2025/6/9