Amazon Linux 2023 : nodejs20、nodejs20-devel、nodejs20-full-i18n (ALAS2023-2026-1464)
high Nessus プラグイン ID 301359
Language:
概要
リモートの Amazon Linux 2023 ホストに、セキュリティ更新プログラムがありません。説明
したがって、ALAS2023-2026-1464 のアドバイザリに記載されている複数の脆弱性の影響を受けます。node-tarはNode.jsのTarです。node-tar ライブラリ<= 7.5.2は、preservePaths が false である場合デフォルトの安全な動作、Link ハードリンクおよび SymbolicLink エントリのリンクパスのサニタイズに失敗します。これにより、悪意のあるアーカイブが抽出ルート制限をバイパスし、ハードリンクを介して任意のファイルの上書きや絶対シンボリックリンクターゲットを介してシンボリックリンクポイズニングを引き起こす可能性があります。この脆弱性は 7.5.3 で修正されています。
(CVE-2026-23745)
Node.js 用の Tar である node-tar に、 7.5.3までのバージョンの競合状態脆弱性があります。これは、「path-reservations」システムで Unicode パスの競合を不完全に処理していることが原因です。大文字と小文字を区別しないまたは正規化を区別しないファイルシステムmacOS APFS などでテストされているでは、ライブラリが競合するパス例「ss」と「ss」をロックできず、それらを並列処理できます。これにより、ライブラリの内部の同時性保護がバイパスされ、競合状態を介してシンボリックリンクポイズニング攻撃が可能になります。ライブラリは「Path reserves」システムを使用して、同じパスに対するメタデータのチェックおよびファイル操作が確実にシリアル化されるようにします。これにより、あるエントリが別のエントリを同時に上書きする可能性のある競合状態を回避できます。これは、任意のファイルの上書きを可能にする競合状態です。この脆弱性は、macOSAPFS/HFS+でnode-tarを使用するユーザーとシステムに影響します。「NFD」Unicode 正規化で「ss」と「ss」が異なるを使用するために、競合するパスの順序が、Unicode 正規化を無視するファイルシステム下で適切に保存されません例APFS「ss」が inode を引き起こす「ss」との衝突)。これにより、攻撃者は悪意のある tar アーカイブ内で競合するファイル名を使用して、内部並列化ロック「Path reserves」を回避することができます。バージョン 7.5.4 のパッチでは、ターゲットファイルシステムの動作例「NFKD」、それに続く最初の「toLocaleLowerCase('en')」、「toLocaleUpperCase(」の順) に一致する正規化形式を使用するように「path-reservations.js」を更新していますen」を元に戻します。
回避策として、すぐにアップグレードできないユーザー、および「node-tar」を使用して任意の tarball データを抽出しているユーザーは、すべての「SymbolicLink」エントリnpm が行うようにフィルターで除外し、このファイルシステムのエントリ名を介した任意のファイル書き込みに対して防御する必要があります。発見しました。CVE-2026-23950
Tenable は、前述の記述ブロックをテスト済み製品のセキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
「dnf update nodejs20 --releasever 2023.10.20260302」または「dnf update --advisory ALAS2023-2026-1464 --releasever 2023.10.20260302」を実行して、お使いのシステムを更新してください。参考資料
https://alas.aws.amazon.com/faqs.html
https://explore.alas.aws.amazon.com/CVE-2026-23745.html
プラグインの詳細
深刻度: High
ID: 301359
ファイル名: al2023_ALAS2023-2026-1464.nasl
バージョン: 1.1
タイプ: local
エージェント: unix
公開日: 2026/3/6
更新日: 2026/3/6
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.0
CVSS v2
リスクファクター: Medium
基本値: 5.6
現状値: 4.4
ベクトル: CVSS2#AV:L/AC:L/Au:N/C:C/I:P/A:N
CVSS スコアのソース: CVE-2026-23745
CVSS v3
リスクファクター: Medium
基本値: 6.1
現状値: 5.5
ベクトル: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
CVSS v4
リスクファクター: High
Base Score: 8.2
Threat Score: 6.8
Threat Vector: CVSS:4.0/E:P
Vector: CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:L/VA:N/SC:H/SI:L/SA:N
脆弱性情報
CPE: p-cpe:/a:amazon:linux:v8-11.3-devel, p-cpe:/a:amazon:linux:nodejs20-debugsource, p-cpe:/a:amazon:linux:nodejs20-devel, p-cpe:/a:amazon:linux:nodejs20, p-cpe:/a:amazon:linux:nodejs20-npm, p-cpe:/a:amazon:linux:nodejs20-libs, p-cpe:/a:amazon:linux:nodejs20-debuginfo, p-cpe:/a:amazon:linux:nodejs20-full-i18n, p-cpe:/a:amazon:linux:nodejs20-libs-debuginfo, p-cpe:/a:amazon:linux:nodejs20-docs, cpe:/o:amazon:linux:2023
必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2026/3/5
脆弱性公開日: 2026/1/16
参照情報
CVE: CVE-2026-23745, CVE-2026-23950