AXSA:2021-2440:01

リリース日: 
2021/09/22 Wednesday - 11:35
題名: 
nodejs:12 security and bug fix update
影響のあるチャネル: 
Asianux Server 8 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- Node.js の dns ライブラリにはドメインネームサーバーから返されるホスト名の入力検証が
欠けているため、ライブラリを使用しているアプリケーションにホスト名を誤表示したり、
インジェクションをもたらす問題があり、リモートコード実行、クロスサイトスクリプティング、
アプリケーションのクラッシュが発生する脆弱性があります。(CVE-2021-22931)

- Node.js の https API には、APIを不正確に使用して "rejectUnauthorized" パラメーター に
"undefined" を渡すとエラーが返されず、期限切れの証明書を持つサーバへの接続が
受け入れられてしまう脆弱性があります。(CVE-2021-22939)

- Node.js には解放後使用の問題があり、攻撃者がメモリー内のデータ領域を破壊し、
プロセスの動作を変化させてしまう脆弱性があります。(CVE-2021-22940)

- path-parse パッケージには、正規表現を表わす変数 splitDeviceRe、splitTailRe、
splitPathRe を介して、正規表現サービス拒否 (ReDoS) に陥る脆弱性があります。
(CVE-2021-23343)

- npm パッケージ の "tar" には、シンボリックリンクの保護が不十分な問題があり、
tarファイルの中に同名のディレクトリとシンボリックリンクが含まれている場合、
ディレクトリを作成した後にシンボリックリンクのチェックをバイパスしてディレクトリと
置き換えてしまうため、シンボリックリンク先に tar ファイルに含まれる任意のファイルが
作成/上書きされる脆弱性があります。(CVE-2021-32803)

- npm パッケージの "tar" には、絶対パスのサニタイズが不十分な問題があり、tar ファイルに
含まれる絶対パスの先頭の "/" しか取り除かないため、"////home/user/.bashrc" のような
パスがあると絶対パスが残ってしまい、任意のファイルを作成/上書きできる脆弱性があります。
なお、"entty.path" をサニタイズするカスタムの ”onentry” メソッドを作成するか、もしくは
絶対パスを消去する ”filter” メソッドを使うことで脆弱性を回避できます。(CVE-2021-32804)

現時点では CVE-2021-22930, CVE-2021-3672 の情報が公開されておりません。
CVE の情報が公開され次第情報をアップデートいたします。

Modularity name: nodejs
Stream name: 12

解決策: 

パッケージをアップデートしてください。

追加情報: 

N/A

ダウンロード: 

SRPMS
  1. nodejs-nodemon-2.0.3-1.module+el8+1305+de9ef142.src.rpm
    MD5: 2f1c96757530b8d098fbb10d945628ce
    SHA-256: c06db464eb4ac7f79caa2e2c65c2857a79396e44de3c1d2341eeaa26969d5322
    Size: 1.15 MB
  2. nodejs-packaging-17-3.module+el8+1305+de9ef142.src.rpm
    MD5: 31a22f36fcb2ac58fa06fe46d45d2886
    SHA-256: 8ccc07f914c3c6c8261a412127a68ad8b31dea732b11bf5d43c976b67cb2ede1
    Size: 20.66 kB
  3. nodejs-12.22.5-1.module+el8+1305+de9ef142.src.rpm
    MD5: ffaf8c90a6d4030fc72359bd4f9006fb
    SHA-256: 118e1f05983fffe148ae24917e209ea77ba6a45ce3913075281446d2b45761b3
    Size: 55.81 MB

Asianux Server 8 for x86_64
  1. nodejs-nodemon-2.0.3-1.module+el8+1305+de9ef142.noarch.rpm
    MD5: f78cd08952a9b98484d8a6f4d2e0ac19
    SHA-256: 9d3f0a7ac335735b69b4266a750001777f28292d3b117452009e69a2b79d4f17
    Size: 806.99 kB
  2. nodejs-packaging-17-3.module+el8+1305+de9ef142.noarch.rpm
    MD5: 41822336d781e1091b63bc7fbad73ba0
    SHA-256: 082968ecaa1d8438c03219d6c659e75039b047655a6bfd97721ec126aee5f7ae
    Size: 18.41 kB
  3. nodejs-12.22.5-1.module+el8+1305+de9ef142.x86_64.rpm
    MD5: cd56aa632f8d1fade2470dab65338bc6
    SHA-256: c5be7a2394292ea60301d3e467ca3550a27eacf1907045dab96e15bcf356d6f9
    Size: 10.13 MB
  4. nodejs-debugsource-12.22.5-1.module+el8+1305+de9ef142.x86_64.rpm
    MD5: d7b01dae58b445984bbe60ffd6152b00
    SHA-256: be7aac8cd0fe76faf619ed4c61352fbf714703d9f29254b69e3fce34c44c1822
    Size: 10.36 MB
  5. nodejs-devel-12.22.5-1.module+el8+1305+de9ef142.x86_64.rpm
    MD5: e19cf0d53345406e47b86ffd90552e98
    SHA-256: 37dcdad1b330179e05c63378c4409db687ca80901e3f29da145bfcacf4e6dc36
    Size: 175.87 kB
  6. nodejs-docs-12.22.5-1.module+el8+1305+de9ef142.noarch.rpm
    MD5: 4d9292e4e34ccc4d1b4571ee2c97e801
    SHA-256: 510b0710d8e31c61085a21b4a5f616f1bf5eb6240a44892d13977a198ce63db4
    Size: 4.10 MB
  7. nodejs-full-i18n-12.22.5-1.module+el8+1305+de9ef142.x86_64.rpm
    MD5: 7ee3fc47ba79f21d465e7638690e7bc3
    SHA-256: 8e81b97f758ce8d9f322c52e251dc7df92de1d1fbabf0175117881982e8492dd
    Size: 7.49 MB
  8. npm-6.14.14-1.12.22.5.1.module+el8+1305+de9ef142.x86_64.rpm
    MD5: 4996a877669bc6ae41619b82377f9ec6
    SHA-256: 95843799e87cdef9b8e9b9590f163aa951557ccac43703edf5986d8efab8d827
    Size: 3.67 MB
Copyright© 2007-2015 Asianux. All rights reserved.