AXSA:2021-1495:01

リリース日: 
2021/02/18 Thursday - 03:38
題名: 
nodejs:12 security update
影響のあるチャネル: 
Asianux Server 8 for x86_64
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- nodejs には、mixin-deep 関数がコンストラクタのペイロードを使用して Object.prototype の
プロパティを追加/変更してしまえる脆弱性があります。(CVE-2019-10746)

- nodejs には、mixin-deep 関数がコンストラクタ、プロトタイプ、又は _proto_ ペイロードの
何れかを使用して Object.prototype のプロパティを追加/変更してしまえる脆弱性があります。
(CVE-2019-10747)

- nodejsには、ユーザーの emailアドレスを検証する正規表現が、"@"文字で始まる
長い入力文字列を処理する際に、指数関数的に時間が掛かる脆弱性があります。(CVE-2020-7754)

- nodejs には、攻撃者が悪意のある INI ファイルを ini.parse を使って解析するアプリケーションに
発行すると、アプリケーションのプロトタイプが汚染される脆弱性があります。(CVE-2020-7788)

- nodejs には、TLS の実装で解放後使用の問題があり、サービス拒否や他の不正利用に繋がる
メモリ内のデータ破壊を引き起こす脆弱性があります。(CVE-2020-8265)

- nodejs には HTTP リクエストの ヘッダーフィールドの取り扱いに問題があり、
HTTP リクエストスマグリング攻撃を受ける脆弱性があります。(CVE-2020-8287)

- nodejs には、攻撃者が選択したホストへ DNS リクエストを発行できるようになっている
Node.js アプリケーションが、より多くのレスポンスを持つ DNS レコードを解決しようとすると、
サービス拒否を引き起こす脆弱性があります。 (CVE-2020-8277)

- nodejs の ajv.validate() には、慎重かつ巧妙に細工された JSON スキーマが、プロトタイプ汚染攻撃により
他のコードを実行してしまう脆弱性があります。(CVE-2020-15366)

- nodejs の yargs-parser には、"__proto__"ペイロードを使用して Object.prototype のプロパティを
追加/変更してしまえる脆弱性があります。(CVE-2020-7608)

- nodejs の y18n には、PoCで実証されているように、プロトタイプが汚染される脆弱性があります。
(CVE-2020-7774)

解決策: 

パッケージをアップデートしてください。

追加情報: 

N/A

ダウンロード: 

SRPMS
  1. nodejs-nodemon-2.0.3-1.module+el8+1184+e1f89a2b.src.rpm
    MD5: 8f6928f771ac26d0ac401aa3b67735aa
    SHA-256: cfb87056049eaa2339be5ac6246627a11b6de115999a8e9c08454576a3a091f7
    Size: 1.15 MB
  2. nodejs-packaging-17-3.module+el8+1184+e1f89a2b.src.rpm
    MD5: 55a8b228bf8e83100bc34aae26a6eea0
    SHA-256: 7f2b00d5804cfe81fa55d324f4d4639795c56f63458ca07bd4cef9009abe5764
    Size: 20.66 kB
  3. nodejs-12.20.1-1.module+el8+1184+e1f89a2b.src.rpm
    MD5: e9f27692f2f255b83fcfc8b250849181
    SHA-256: 58cb94b147f9872186d6f95c99bedbc6bfa3d44dfa1b561942287719b79656b4
    Size: 55.76 MB

Asianux Server 8 for x86_64
  1. nodejs-nodemon-2.0.3-1.module+el8+1184+e1f89a2b.noarch.rpm
    MD5: a851b3d26ddf2d515d610b4d267ab073
    SHA-256: ce3f26dc8875c1c089c8f4997f7592877a12e125307a0cd5d7573cb657817871
    Size: 807.00 kB
  2. nodejs-packaging-17-3.module+el8+1184+e1f89a2b.noarch.rpm
    MD5: 8cc5861cdfd95d082d45961fae39b7a8
    SHA-256: 636ba9d03b9181b2455cacac9a298641cf21a46e87a12359b113d59664583563
    Size: 18.43 kB
  3. nodejs-12.20.1-1.module+el8+1184+e1f89a2b.x86_64.rpm
    MD5: cf8492098ca6549c0b310455c8f432b5
    SHA-256: 7e9e85dc960a355c4b7ff71a3f43e9df973ba5350a4174493177d37afc358979
    Size: 10.12 MB
  4. nodejs-debugsource-12.20.1-1.module+el8+1184+e1f89a2b.x86_64.rpm
    MD5: 8d7e2cf7e7935c2b2667fabe6fe9c72e
    SHA-256: 1f75d12490ca76a1777200d29394da2daa9c97ee9b931cba582c78ba8b9823eb
    Size: 10.34 MB
  5. nodejs-devel-12.20.1-1.module+el8+1184+e1f89a2b.x86_64.rpm
    MD5: e16c34cb590e7708cf04f2b54ce0195e
    SHA-256: bde9cb0fb7b3dab2c1ef081a09cf0c22b38f92d8b09fb534f7ed9cd03accd921
    Size: 174.75 kB
  6. nodejs-docs-12.20.1-1.module+el8+1184+e1f89a2b.noarch.rpm
    MD5: 49424b0050c69e506d5b55aa665bad4f
    SHA-256: 8577d2237492079c745baede73c9c50a8868f1fa2d66295d5d8e308273624062
    Size: 4.09 MB
  7. nodejs-full-i18n-12.20.1-1.module+el8+1184+e1f89a2b.x86_64.rpm
    MD5: 9a9bba0c3788e4eb8303fb0fd1648842
    SHA-256: 522147aafdfc95254c940368940b3f9394fc65bdd0e7e2be29eed21fbe47abbe
    Size: 7.49 MB
  8. npm-6.14.10-1.12.20.1.1.module+el8+1184+e1f89a2b.x86_64.rpm
    MD5: 514fe5860bcf2390ef802798c975fc1a
    SHA-256: 96201bbfc09a1b9f3cbe17083940a6cb9e01f0f02fd51569be92391ccca346ec
    Size: 3.67 MB
Copyright© 2007-2015 Asianux. All rights reserved.