nodejs:14 security, bug fix, and enhancement update

エラータID: AXSA:2022-3040:01

リリース日: 
2022/02/02 Wednesday - 05:13
題名: 
nodejs:14 security, bug fix, and enhancement update
影響のあるチャネル: 
Asianux Server 8 for x86_64
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- node.js の glob-parent パッケージには、文字列がパスセパレータを含むエンクロージャーで
終了するかをチェックする正規表現 enclosure に問題があり、攻撃者が悪意のある文字列を
提供することで、正規表現によるサービス拒否状態に陥る脆弱性があります。
(CVE-2020-28469)

- nodejs には、攻撃者が悪意のある INI ファイルを ini.parse を使って解析するアプリケーションに
発行すると、アプリケーションのプロトタイプが汚染される脆弱性があります。(CVE-2020-7788)

- llhttp には、HTTP リクエストのヘッダー名とコロンの間にスペースが含まれていると有効と
判断してしまうため、HTTP 通信がプロキシーやリバースプロキシー、ロードバランサーなどに
よってプロキシーされている場合、攻撃者がプロキシーを通して任意のメッセージを挿入し、
HTTPスマグリング攻撃を実行できる脆弱性があります。(CVE-2021-22959)

- llhttp のパース機能にはチャンクリクエストのボディを解析する際にチャンク拡張を無視する
問題があり、特定の条件で HTTP スマグリングが発生する脆弱性があります。
(CVE-2021-22960)

- node.js の normalize-url パッケージには、"data:"スキーマの URL に対して指数関数的に時間が
掛かる問題があり、正規表現によりサービス拒否に陥る脆弱性があります。(CVE-2021-33502)

- "tar" npm パッケージ(別名 node-tar)には、同名のディレクトリとシンボリックリンクが
tar ファイルに含まれていて、且つディレクトリ名とシンボリックリンクにバックスラッシュが
使用されている場合にシンボリックリンクのチェックをバイパスしてしまう問題があり、
信頼できない tar ファイルへのシンボリックリンクを任意の場所に作成して展開することで、
任意の場所にファイルを作成したり上書きできたりする脆弱性があります。(CVE-2021-37701)

- "tar" npm パッケージ(別名 node-tar)には、名前に同一の値に正規化された unicode 値を含む
ディレクトリとシンボリックリンクが tar ファイルに含まれている場合の展開に問題があり、
悪意のある tar ファイルにディレクトリと、そのディレクトリへのファイルシステムエントリとして
解決される別名のシンボリックリンクを含めることでシンボリックリンクのチェックをバイパスして
しまい、信頼できない tar ファイルへのシンボリックリンクを任意の場所に作成して展開することで、
任意の場所にファイルを作成したり上書きできたりする脆弱性があります。(CVE-2021-37712)

- node.js の ansi-regex 機能には、ansi-regex を使用したアプリケーションが巧妙に細工された
ANSI のエスケープコードをマッチングする際に過剰な CPU 時間を使用する問題があり、
正規表現によるサービス拒否を引き起こす脆弱性があります。(CVE-2021-3807)

- node.js の json-schema 機能には、JSON オブジェクトを検証中に prototype が汚染される
問題があり、攻撃者が検証用に巧妙に細工された JSON ファイルを提供することで
node プログラムの動作を変更し、任意のコードを実行できる脆弱性があります。
(CVE-2021-3918)

Modularity name: nodejs
Stream name: 14

解決策: 

パッケージをアップデートしてください。

追加情報: 

N/A

ダウンロード: 

SRPMS
  1. nodejs-nodemon-2.0.15-1.module+el8+1390+aa748c28.src.rpm
    MD5: f5a1c3e2864e48c4d8cde2c38bb935c7
    SHA-256: 05fe18107a0018de4208d57a3b35d2f5c4d3cf1f113502c6438d7a4e1dc84022
    Size: 730.29 kB
  2. nodejs-packaging-23-3.module+el8+1390+aa748c28.src.rpm
    MD5: 547c6d2f86b048871c3d3d991b573e2f
    SHA-256: dc28ccf0d78a0c529d1d7389376646fe49057fdf608d462655f3688a2a4ff9d2
    Size: 26.54 kB
  3. nodejs-14.18.2-2.module+el8+1390+aa748c28.src.rpm
    MD5: 061cdd35fdcfc893ab4dac13c5b1a2cf
    SHA-256: ce3b87a3084c5fa82ebc26b9a14e61c9e0618f8787ce8bc43d79abc938cf4bc9
    Size: 66.91 MB

Asianux Server 8 for x86_64
  1. nodejs-nodemon-2.0.15-1.module+el8+1390+aa748c28.noarch.rpm
    MD5: 20766e7cd6b60c37d80e113d8bd8b922
    SHA-256: fa2a835f1397220832ef243600c1253a532f7c7f81bebadf83a68eeec14a7885
    Size: 578.86 kB
  2. nodejs-packaging-23-3.module+el8+1390+aa748c28.noarch.rpm
    MD5: 9cb2cf6de288a2966a4341f6b0200f62
    SHA-256: 7dca011daedcd7f98a3e0f33a33f65f0da145dfb7d3b94273acbd09b33ec22a7
    Size: 22.98 kB
  3. nodejs-14.18.2-2.module+el8+1390+aa748c28.x86_64.rpm
    MD5: 5adfa101fb74f02c7ea6ac17fd340fbb
    SHA-256: 9666810ad072b5a66358224c11b4d75c214c975d34a61852beb921f580c40fe7
    Size: 10.82 MB
  4. nodejs-debugsource-14.18.2-2.module+el8+1390+aa748c28.x86_64.rpm
    MD5: fffca45810de10a5cc00d61d4d470b27
    SHA-256: 3a259064981e431708b486c06fd4d09931ca8e9beea681046ff4cee7c59fd340
    Size: 11.01 MB
  5. nodejs-devel-14.18.2-2.module+el8+1390+aa748c28.x86_64.rpm
    MD5: 91c37f80f883b826f447abb641af5ff6
    SHA-256: 6b1a7ff8c6e73d4635dc4ac44a0bd52240c216981405b5572def3afcd0e3d099
    Size: 204.04 kB
  6. nodejs-docs-14.18.2-2.module+el8+1390+aa748c28.noarch.rpm
    MD5: 785ed7079d95fdc104e0cec10aae0b7c
    SHA-256: 9b803d8d2d78ab77ffff1064408d1a75eee769183f6eb46251da1e89210b4f93
    Size: 8.33 MB
  7. nodejs-full-i18n-14.18.2-2.module+el8+1390+aa748c28.x86_64.rpm
    MD5: fb20faf43aafcc244b41053bb9076717
    SHA-256: 91efe0af4876746c315472563eac2ba72e5d868f7ab6356c739e867b87f37c21
    Size: 7.61 MB
  8. npm-6.14.15-1.14.18.2.2.module+el8+1390+aa748c28.x86_64.rpm
    MD5: a660e06e98a61760dd0f47a5d071c726
    SHA-256: 035d6d110098384b9cee72ab8df2a419142eeffd9c6572d24ece8b4bd5d59c50
    Size: 3.68 MB