nodejs-nodemon-2.0.19-1.el9, nodejs-16.16.0-1.el9

エラータID: AXSA:2022-4073:01

リリース日: 
2022/11/16 Wednesday - 13:03
題名: 
nodejs-nodemon-2.0.19-1.el9, nodejs-16.16.0-1.el9
影響のあるチャネル: 
MIRACLE LINUX 9 for x86_64
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- node.js の glob-parent パッケージには、文字列がパスセパレータを含む
エンクロージャーで終了するかをチェックする正規表現 enclosure に問題
があり、攻撃者が悪意のある文字列を提供することで、正規表現による
サービス拒否状態に陥る脆弱性があります。(CVE-2020-28469)

- nodejs には、攻撃者が悪意のある INI ファイルを ini.parse を使って解析
するアプリケーションに発行すると、アプリケーションのプロトタイプが
汚染される脆弱性があります。(CVE-2020-7788)

- node.js の normalize-url パッケージには、"data:" スキーマの URL に
対して指数関数的に時間が掛かる問題があり、正規表現によりサービス
拒否に陥る脆弱性があります。(CVE-2021-33502)

- node.js の ansi-regex 機能には、ansi-regex を使用したアプリケー
ションが巧妙に細工された ANSI のエスケープコードをマッチングする
際に過剰な CPU 時間を使用する問題があり、正規表現によるサービス
拒否を引き起こす脆弱性があります。(CVE-2021-3807)

- npm には、--workspaces オプションもしくは --workspace オプション
を指定して実行した際にルートレベルのディレクトリにある .gitignore
および .npmignore ファイルに設定した公開対象外ファイルの指定を無視
する問題があるため、ワークスペース内での npm pack コマンドもしく
は npm publish コマンドの実行を介して、npm レジストリに意図しない
ファイルが公開される脆弱性が存在します。(CVE-2022-29244)

- nodejs の IsAllowedHost 関数には IP アドレスが無効化かどうかを
正しく検証しない問題があるため、リモートの攻撃者による DNS
リバインド攻撃を可能とする脆弱性が存在します。(CVE-2022-32212)

- nodejs の http モジュールの llhttp パーサーには、Transfer-Encoding
ヘッダーを正しく解析しない問題があるため、リモートの攻撃者による
HTTP リクエストスマグリング攻撃を可能とする脆弱性が存在します。
(CVE-2022-32213)

- nodejs の http モジュールの llhttp パーサーには、HTTP リクエスト内の
改行コード (CR/LF) を適切に解析していない問題があるため、リモート
の攻撃者により、巧妙に細工された HTTP リクエストを介して、HTTP
リクエストスマグリング攻撃を可能とする脆弱性が存在します。
(CVE-2022-32214)

- nodejs の http モジュールの llhttp パーサーには、複数行の
Transfer-Encoding ヘッダーを正しく処理しない問題があるため、
リモートの攻撃者により、巧妙に細工された HTTP リクエストを
介して、HTTP リクエストスマグリング攻撃を可能とする脆弱性が
存在します。(CVE-2022-32215)

- nodejs の got パッケージには、リクエストされた URL を検証しない
問題があるため、UNIX ソケットへのリダイレクト攻撃を可能とする
脆弱性が存在します。(CVE-2022-33987)

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2020-28469
This affects the package glob-parent before 5.1.2. The enclosure regex used to check for strings ending in enclosure containing path separator.
CVE-2020-7788
This affects the package ini before 1.3.6. If an attacker submits a malicious INI file to an application that parses it with ini.parse, they will pollute the prototype on the application. This can be exploited further depending on the context.
CVE-2021-33502
The normalize-url package before 4.5.1, 5.x before 5.3.1, and 6.x before 6.0.1 for Node.js has a ReDoS (regular expression denial of service) issue because it has exponential performance for data: URLs.
CVE-2021-3807
ansi-regex is vulnerable to Inefficient Regular Expression Complexity
CVE-2022-29244
npm pack ignores root-level .gitignore and .npmignore file exclusion directives when run in a workspace or with a workspace flag (ie. `--workspaces`, `--workspace=`). Anyone who has run `npm pack` or `npm publish` inside a workspace, as of v7.9.0 and v7.13.0 respectively, may be affected and have published files into the npm registry they did not intend to include. Users should upgrade to the latest, patched version of npm v8.11.0, run: npm i -g npm@latest . Node.js versions v16.15.1, v17.19.1, and v18.3.0 include the patched v8.11.0 version of npm.
CVE-2022-32212
A OS Command Injection vulnerability exists in Node.js versions <14.20.0, <16.16.0, <18.5.0 due to an insufficient IsAllowedHost check that can easily be bypassed because IsIPAddress does not properly check if an IP address is invalid before making DBS requests allowing rebinding attacks.
CVE-2022-32213
The llhttp parser
CVE-2022-32214
The llhttp parser
CVE-2022-32215
The llhttp parser
CVE-2022-33987
The got package before 12.1.0 (also fixed in 11.8.5) for Node.js allows a redirect to a UNIX socket.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. nodejs-nodemon-2.0.19-1.el9.src.rpm
    MD5: e61cdffacf2556f839cd276c847a16b6
    SHA-256: ae1c27c0b2b47a0846f003e4783dc36ae82b07b49164212d399e3a4509969977
    Size: 938.03 kB
  2. nodejs-16.16.0-1.el9.src.rpm
    MD5: 177a558c2d13b298bbdd0a53680d6bab
    SHA-256: 9e976ca7207b4b9ce7f75695b9f089aa6af103df7f5c51ee760bdc6db08fde25
    Size: 67.65 MB

Asianux Server 9 for x86_64
  1. nodejs-nodemon-2.0.19-1.el9.noarch.rpm
    MD5: 0ff6827210f991cfc6b05cd84712b662
    SHA-256: b3ec7418e7bd1146a793c0472e6446be16f99c4526c0a072c5af0e189f804acf
    Size: 506.00 kB
  2. nodejs-16.16.0-1.el9.x86_64.rpm
    MD5: e177474e8343454d61668809f6f3c145
    SHA-256: 73e3cba79e8cb14d3f2e8a949fbbfdb17ef500970743ba60c4850db0ea41c444
    Size: 99.41 kB
  3. nodejs-docs-16.16.0-1.el9.noarch.rpm
    MD5: dc469330030db82aa2ce8bffa0b2b61e
    SHA-256: 06af66e7e726506d45d6075b8037b87535debfef2f814f55728548669fff873c
    Size: 6.80 MB
  4. nodejs-full-i18n-16.16.0-1.el9.x86_64.rpm
    MD5: 76b1601a66203f04845d7e9a93e114a3
    SHA-256: 15ff59697ec8a684493c935509563a74db39629657ea47eb8d6a632c961eb508
    Size: 8.06 MB
  5. nodejs-libs-16.16.0-1.el9.x86_64.rpm
    MD5: 630bbafa1fdc67bf2f2a714a3b01b5ff
    SHA-256: b9a4d3686b796a5e77c3e2d2e96428d8cee6a51221deb0f0612bc095f58961dd
    Size: 14.40 MB
  6. npm-8.11.0-1.16.16.0.1.el9.x86_64.rpm
    MD5: b774b88f9f416b72cb959bb95c8ff044
    SHA-256: 1adc3c38388e09ebbe624091aaadecd3ea8d7d10ebd216c3a86ed0868b4df154
    Size: 1.72 MB
  7. nodejs-libs-16.16.0-1.el9.i686.rpm
    MD5: d24d696096707d0886b4403955a265e0
    SHA-256: c09b4f9de1e26e521cab4342c4bc47d1dbae1fffbcd27f77c1f4304c982c0cc0
    Size: 15.05 MB