AXSA:2020-792:01

リリース日: 
2020/10/26 Monday - 05:36
題名: 
nodejs:12 security and bug fix update
影響のあるチャネル: 
Asianux Server 8 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- nodejs12 の npm CLI は "://[[:]@][:][:][/]" のような
URL をサポートしており、パスワードが編集
されずに標準出力や生成されたログファイルに
出力されてしまうため、ログファイルを通じて
情報開示してしまう脆弱性があります。(CVE-2020-15095)

- Node.js の dot-prop npm パッケージには、
プロトタイプ汚染の問題があり、攻撃者が任意の
プロパティーを JavaScript のコンストラクトに
追加することのできる脆弱性があります。(CVE-2020-8116)

- Node.js には、 HTTP ヘッダ名の carrier-return
シンボルの処理中に、HTTP Desync 攻撃が可能な
問題があり、攻撃者が巧妙に細工されたペイロードを
予期しないユーザーに送付することで、基盤となる
システムのアーキテクチャに応じて、ユーザーの
セッションの乗っ取り、Cookie のポイズニング、
クリックジャッキングの実行などの複数の攻撃が
可能な脆弱性があります。(CVE-2020-8201)

- Node.js の libuv の realpath の実装には、
バッファサイズの決定に誤りがあり、 展開された
パスが 256 バイト以上あると、バッファオーバーフローを
引き起こす可能性のある脆弱性があります。(CVE-2020-8252)

- Node.js の node には、TLS セッションの再利用の
問題があり、ホストの証明書の検証をバイパスすることの
できる脆弱性があります。(CVE-2020-8172)

解決策: 

パッケージをアップデートしてください。

追加情報: 

N/A

ダウンロード: 

SRPMS
  1. nodejs-nodemon-1.18.3-1.module+el8+132+1cd968c0.src.rpm
    MD5: acbf257cc7e07af61ed904f98bac15b2
    SHA-256: 7837a84681400a28f637121918e65d1470ed5de1750939844539dd4e0f0dfc36
    Size: 1.35 MB
  2. nodejs-packaging-17-3.module+el8+132+1cd968c0.src.rpm
    MD5: 8fb55e6e1a0d13fdf8a92a84b7c1b566
    SHA-256: 496e4ab95dafb1fb923c4abf1a09bd96ce78db185da48a8803f57ff4d517a9c0
    Size: 20.66 kB
  3. nodejs-12.18.4-2.module+el8+132+1cd968c0.src.rpm
    MD5: 1d7aec04068c2ee422ed7bcbdcca8e25
    SHA-256: a1022d73e03212f64eb8be93fee91ea686018c4a2a7e1a5c8f708c34e4ab063f
    Size: 55.00 MB

Asianux Server 8 for x86_64
  1. nodejs-nodemon-1.18.3-1.module+el8+132+1cd968c0.noarch.rpm
    MD5: 4de418d0e4684d3c44ea5a0d297dece1
    SHA-256: 871c96c685bbf23a190e35b0b6f1abd886c871bd953fe7881bc2b8f3a57e743b
    Size: 963.32 kB
  2. nodejs-packaging-17-3.module+el8+132+1cd968c0.noarch.rpm
    MD5: 5158b2f6c6bb9797a47a26b3ed406bd9
    SHA-256: 88164ebf2746649304cab6b7793293045c4acffb829f688f762992ae9b3a7e1f
    Size: 18.43 kB
  3. nodejs-12.18.4-2.module+el8+132+1cd968c0.x86_64.rpm
    MD5: 43ea09045d6c844f05b0dec5fe69a101
    SHA-256: d64bd45a58efcb126da4b0d4b0af933db573d9ac1e50ad280942b9f9e22415ff
    Size: 10.30 MB
  4. nodejs-devel-12.18.4-2.module+el8+132+1cd968c0.x86_64.rpm
    MD5: efffd9d3fb5cb2567be6625be03efa39
    SHA-256: 967e45e968e93241824505df69f32135ff5224006a33dacaaf7c017a793a9887
    Size: 172.18 kB
  5. nodejs-docs-12.18.4-2.module+el8+132+1cd968c0.noarch.rpm
    MD5: 1221bff22b2e595d33f53e51bbb9e643
    SHA-256: b2f086cd6ac099d7f936c31101b0846f8ba1a5d26805a139a39d29df4ac8b837
    Size: 3.99 MB
  6. nodejs-full-i18n-12.18.4-2.module+el8+132+1cd968c0.x86_64.rpm
    MD5: e60e4cd4b029d40fc3e20c3a9f215165
    SHA-256: b081a1957f84615ea8414e166f9e1e77007c81990fac92b74822601d3b7298c2
    Size: 7.49 MB
  7. npm-6.14.6-1.12.18.4.2.module+el8+132+1cd968c0.x86_64.rpm
    MD5: de533cfa0e1d96e1800003dc995fa8ed
    SHA-256: fddd3d2dcb865689e83dc094d863560c24189c83619c93875206a5183976a735
    Size: 3.83 MB
Copyright© 2007-2015 Asianux. All rights reserved.