nodejs:14 security and bug fix update

エラータID: AXSA:2021-1510:01

リリース日: 
2021/02/19 Friday - 12:51
題名: 
nodejs:14 security and bug fix update
影響のあるチャネル: 
Asianux Server 8 for x86_64
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- nodejs の ajv.validate() には、慎重かつ巧妙に細工された JSON スキーマが、
プロトタイプ汚染攻撃により他のコードを実行してしまう脆弱性があります。
(CVE-2020-15366)

- nodejsには、ユーザーの emailアドレスを検証する正規表現が、"@"文字で始まる
長い入力文字列を処理する際に指数関数的に時間が掛かる脆弱性があります。
(CVE-2020-7754)

- nodejs の y18n には、PoCで実証されているように、プロトタイプが
汚染される脆弱性があります。(CVE-2020-7774)

- nodejs には、攻撃者が悪意のある INI ファイルを ini.parse を使って解析する
アプリケーションに発行すると、アプリケーションのプロトタイプが汚染される
脆弱性があります。(CVE-2020-7788)

- nodejs には、TLS の実装で解放後使用の問題があり、サービス拒否や
他の不正利用に繋がるメモリ内のデータ破壊を引き起こす脆弱性があります。
(CVE-2020-8265)

- nodejs には、攻撃者が選択したホストへ DNS リクエストを発行できるように
なっている Node.js アプリケーションが、より多くのレスポンスを持つ DNS レコードを
解決しようとすると、サービス拒否を引き起こす脆弱性があります。 (CVE-2020-8277)

- nodejs には HTTP リクエストの ヘッダーフィールドの取り扱いに問題があり、
HTTP リクエストスマグリング攻撃を受ける脆弱性があります。(CVE-2020-8287)

解決策: 

パッケージをアップデートしてください。

追加情報: 

N/A

ダウンロード: 

SRPMS
  1. nodejs-nodemon-2.0.3-1.module+el8+1187+a52be6cc.src.rpm
    MD5: a23860a2e24f2fa04bbcecbb3a376033
    SHA-256: d19e4d83a9382684fd65c567015423723902863e045fc190d2532b66cf788a3b
    Size: 1.15 MB
  2. nodejs-packaging-23-3.module+el8+1187+a52be6cc.src.rpm
    MD5: 387f36b9d2845017bf5d79f15e59ec24
    SHA-256: dbbe29dce1c18b3f83a921be6a0a972d1caa263431daaf7e03e2f711a02d24d5
    Size: 26.56 kB
  3. nodejs-14.15.4-2.module+el8+1187+a52be6cc.src.rpm
    MD5: 36681ca3366bbfc2a1a9abe7d037a535
    SHA-256: 5dbc10c1c2624aeb1fb02cd19a0ca64d13163a6e8ec2e7d8625e3d009688f0ed
    Size: 65.30 MB

Asianux Server 8 for x86_64
  1. nodejs-nodemon-2.0.3-1.module+el8+1187+a52be6cc.noarch.rpm
    MD5: 639ad3638a2c23ac5a7b0463547a36a3
    SHA-256: 34d7b03fe516de32a827f1ef3add4f2fe958f03eceb771ed7fa88cb59aa218a7
    Size: 806.99 kB
  2. nodejs-packaging-23-3.module+el8+1187+a52be6cc.noarch.rpm
    MD5: a2c18743efcbe45bcce2c4639111bec7
    SHA-256: 9dd81257e2e75f35e2a37096194cd73943eefdc03cbc522142a2400a4214c78f
    Size: 23.02 kB
  3. nodejs-14.15.4-2.module+el8+1187+a52be6cc.x86_64.rpm
    MD5: 096a0cbb20a72893641203068cfb39c7
    SHA-256: df01152048847db22b4b4e4580dfa7bb9a2ae4b5be44669f84098bb2af01776f
    Size: 10.61 MB
  4. nodejs-debugsource-14.15.4-2.module+el8+1187+a52be6cc.x86_64.rpm
    MD5: 3c44fdd0d9a523f955ba36c91fb815d7
    SHA-256: e8967ac8dd4ca7cac093cb355e1293d283afc640d3a62435369e946a71ecc990
    Size: 10.77 MB
  5. nodejs-devel-14.15.4-2.module+el8+1187+a52be6cc.x86_64.rpm
    MD5: 42628b5e8938388da9d9f07d73c0d310
    SHA-256: 070afd217599606c302177f462b133f0b017b39ee9d041ae3557dcc41d2ddb44
    Size: 199.99 kB
  6. nodejs-docs-14.15.4-2.module+el8+1187+a52be6cc.noarch.rpm
    MD5: bd31db3984fcdd98a3d09feef1cc3525
    SHA-256: 062a0462d3371e088541b4026d20e07f73cace13d6859af451fb5a62149ff4ca
    Size: 7.92 MB
  7. nodejs-full-i18n-14.15.4-2.module+el8+1187+a52be6cc.x86_64.rpm
    MD5: 7b46721088b923da601820c759c3f634
    SHA-256: c1008e9a6014f953fa3fd9ce9d4fb2de0d4496412d7fdbf3a940470da8966fc8
    Size: 7.49 MB
  8. npm-6.14.10-1.14.15.4.2.module+el8+1187+a52be6cc.x86_64.rpm
    MD5: e9c01c43ce6570280174c3556f457275
    SHA-256: ab2aa2e48e62d9b17aacc471c618f3352246ba2537a9fb930d5c948a307f31f8
    Size: 3.67 MB