Amazon Linux 2023 : nodejs24、nodejs24-devel、nodejs24-full-i18n (ALAS2023-2026-1578)
high Nessus プラグイン ID 306235
Language:
概要
リモートの Amazon Linux 2023 ホストに、セキュリティ更新プログラムがありません。説明
したがって、ALAS2023-2026-1578 のアドバイザリに記載されている複数の脆弱性の影響を受けます。Node.js HTTPリクエスト処理の欠陥により、リクエストが__proto__という名前のヘッダーで受信され、アプリケーションがreq.headersDistinctにアクセスするとき、捕捉されなかったTypeErrorを引き起こします。
これが発生すると、dest[__proto__] は未定義ではなく Object.prototype に解決されるため、配列以外で .push() が呼び出されます。この例外は、プロパティ getter の内部で同期的にスローされ、エラーイベントリスナーによって傍受できません。つまり、try/catch の req.headersDistinct アクセスをすべてラップしないと処理できません。
この脆弱性は 20.x、、、、、、および 24.xv25.x上のすべての Node.js HTTP サーバーに影響を与えます 22.x。
注意: https://nodejs.org/en/blog/vulnerability/march-2026-security-releases#denial-of-service-via-__proto__-header-name-in-reqheadersdistinct-uncaught-typeerror-crashes-nodejs-process-cve-2026-21710---high (CVE-2026-21710)
Node.js の URL 処理に欠陥があるため、無効な文字が含まれる無効な形式の国際化ドメイン名IDNで url.format() が呼び出された場合に、ネイティブコードでアサーションの失敗を引き起こし、Node.js プロセスをクラッシュします。
この脆弱性は 24.x および 25.xに影響を与えます。
注意: https://nodejs.org/en/blog/vulnerability/march-2026-security-releases#assertion-error-in-node_urlcc-via-malformed-url-format-leads-to-nodejs-crash-cve-2026-21712---medium (CVE-2026-21712)
Node.js HMAC検証の欠陥により、ユーザー指定の署名を検証するときに一定でない時間比較が使用され、一致するバイト数に等しくタイミング情報が漏えいする可能性があります。高分解能のタイミング測定が可能な特定の脅威モデルでは、この動作がタイミングオラクルとして悪用され、HMAC 値を推測する可能性があります。
Node.js は、コードベースの別の場所で使用されるタイミングセーフな比較プリミティブをすでに提供しています。これは、意図的な設計上の決定ではなく漏洩であることを示しています。
この脆弱性 22.xは 20.x、、、、、、に影響 24.xを与えます 25.x。
注 https://nodejs.org/en/blog/vulnerability/march-2026-security-releases#timing-side-channel-in-hmac-verification-via-memcmp-in-crypto_hmaccc-leads-to-potential-mac-forgery-cve-2026-21713---mediumCVE-2026-21713]
クライアントが WINDOW_UPDATE フレームをストリーム 0接続レベルで送信する際に、Node.js HTTP/2 サーバーでメモリリークが発生します。これにより、フロー制御ウィンドウが の最大値を超えます 231-1。サーバーは GOAWAY フレームを正しく送信しますが、Http2Session オブジェクトは決してクリーンアップされません。
この脆弱性は、Node.js 20、22、24、25のHTTP2ユーザーに影響を与えます。
注 https://nodejs.org/en/blog/vulnerability/march-2026-security-releases#memory-leak-in-nodejs-http2-server-via-window_update-on-stream-0-leads-to-resource-exhaustion-cve-2026-21714---mediumCVE-2026-21714]
Node.js Permission Model ファイルシステムの強制の欠陥により、必要な読み取り権限チェックなしで fs.realpathSync.native() が放置されますが、同等のファイルシステム関数はすべて、これらの権限を正しく強制しています。その結果、 --allow-fs-read 制限付きで実行されるコードは、引き続き --permission fs.realpathSync.native () を使用して、ファイルの存在を確認し、シンボリックリンクターゲットを解決し、許可されたディレクトリ外のファイルシステムパスを列挙できます。この脆弱性は 20.x、 、 22.x、 に影響します。 24.x、、 25.x は、 --allow-fs-read が意図的に制限されている権限モデルを使用して処理します。
注意: https://nodejs.org/en/blog/vulnerability/march-2026-security-releases#permission-model-bypass-in-realpathsyncnative-allows-file-existence-disclosure-cve-2026-21715---low (CVE-2026-21715)
CVE-2024-36137 に対する不完全な修正により、コールバックベースの同等プログラムfs.fchmod()、fs.fchown()へのパッチが適切に適用されるのに対し、必要な権限チェックが行われずに、確認 API の FileHandle.chmod() と FileHandle.chown() が放置されます。 。
その結果、 --permission で --allow-fs-write の下で実行されるコードは、引き続きプロミスベースの FileHandle メソッドを使用して、すでにオープンしているファイル記述子のファイル権限と所有権を変更し、意図された書き込み制限をバイパスできます。
この脆弱性は、 --allow-fs-write が意図的に制限されている、パーミッションモデルを使用する 20.x、 22.x、 24.x、 25.x のプロセスに影響を与えます。
注 https://nodejs.org/en/blog/vulnerability/march-2026-security-releases#cve-2024-36137-patch-bypass---filehandlechmodchown-cve-2026-21716---lowCVE-2026-21716]
V8 の文字列ハッシュメカニズムの欠陥により、整数のような文字列が数値に対してハッシュされ、ハッシュ衝突が簡単に予測できるようになります。V8の内部文字列テーブルでそのような多数の衝突を引き起こすリクエストを作成することで、攻撃者はNode.jsプロセスのパフォーマンスを大幅に低下させる可能性があります。
JSON 解析は短い文字列を影響を受けるハッシュテーブルに自動的に内部化するため、最も一般的なトリガーは、攻撃者が制御する入力で JSON.parse() を呼び出すエンドポイントです。
この脆弱性 22.xは 20.x、、、、、、に影響 24.xを与えます 25.x。
注意: https://nodejs.org/en/blog/vulnerability/march-2026-security-releases#hashdos-in-v8-cve-2026-21717---medium (CVE-2026-21717)
node-tar は Node.js 用のフル機能の Tar です。バージョン 7.5.7 およびそれ以前でデフォルトオプションを使用する場合、攻撃者が制御するアーカイブが、抽出ルートの外部のファイルを指す抽出ディレクトリ内部にハードリンクを作成する可能性があります。これにより、抽出ユーザーとして任意のファイルの読み書きが可能になります。プリミティブがパス保護をバイパスし、アーカイブ抽出を直接ファイルシステムアクセスプリミティブに変えるため、重要度は高です。この問題はバージョン 7.5.8で修正されています。(CVE-2026-26960)
Tenable は、前述の記述ブロックをテスト済み製品のセキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
「dnf update nodejs24 --releasever 2023.11.20260413」または「dnf update --advisory ALAS2023-2026-1578 --releasever 2023.11.20260413」を実行してシステムを更新してください。参考資料
https://alas.aws.amazon.com//AL2023/ALAS2023-2026-1578.html
https://alas.aws.amazon.com/faqs.html
https://explore.alas.aws.amazon.com/CVE-2026-21710.html
https://explore.alas.aws.amazon.com/CVE-2026-21712.html
https://explore.alas.aws.amazon.com/CVE-2026-21713.html
https://explore.alas.aws.amazon.com/CVE-2026-21714.html
https://explore.alas.aws.amazon.com/CVE-2026-21715.html
https://explore.alas.aws.amazon.com/CVE-2026-21716.html
プラグインの詳細
深刻度: High
ID: 306235
ファイル名: al2023_ALAS2023-2026-1578.nasl
バージョン: 1.1
タイプ: Local
エージェント: unix
公開日: 2026/4/13
更新日: 2026/4/13
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.0
CVSS v2
リスクファクター: Medium
基本値: 6.6
現状値: 5.2
ベクトル: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:N
CVSS スコアのソース: CVE-2026-26960
CVSS v3
リスクファクター: High
基本値: 7.1
現状値: 6.4
ベクトル: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:amazon:linux:v8-13.6-devel, p-cpe:/a:amazon:linux:nodejs24-debugsource, p-cpe:/a:amazon:linux:nodejs24-debuginfo, p-cpe:/a:amazon:linux:nodejs24-full-i18n, p-cpe:/a:amazon:linux:nodejs24-npm, p-cpe:/a:amazon:linux:nodejs24-libs-debuginfo, p-cpe:/a:amazon:linux:nodejs24-docs, p-cpe:/a:amazon:linux:nodejs24-devel, p-cpe:/a:amazon:linux:nodejs24-libs, p-cpe:/a:amazon:linux:nodejs24, cpe:/o:amazon:linux:2023
必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2026/4/13
脆弱性公開日: 2026/2/18
参照情報
CVE: CVE-2026-21710, CVE-2026-21712, CVE-2026-21713, CVE-2026-21714, CVE-2026-21715, CVE-2026-21716, CVE-2026-21717, CVE-2026-26960