nodejs-nodemon-2.0.20-2.el9, nodejs-16.18.1-3.el9

エラータID: AXSA:2023-5057:01

リリース日: 
2023/02/10 Friday - 09:55
題名: 
nodejs-nodemon-2.0.20-2.el9, nodejs-16.18.1-3.el9
影響のあるチャネル: 
MIRACLE LINUX 9 for x86_64
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- Minimist の index.js ファイルの setKey 関数には、リモートの攻撃者
により、プロトタイプの汚染を可能とする脆弱性が存在します。
(CVE-2021-44906)

- nodejs の minimatch パッケージには、特定の引数による braceExpand
関数の呼び出しを介して、正規表現によるサービス拒否攻撃を可能とする
脆弱性が存在します。(CVE-2022-3517)

- nodejs の HTTP モジュールの llhttp パーサーには、CR/LF で終了して
いない HTTP ヘッダフィールドを適切に処理していない問題があるため、
リモートの攻撃者により、巧妙に細工した HTTP リクエストを介して、
HTTP リクエストスマグリング攻撃を可能とする脆弱性が存在します。
(CVE-2022-35256)

- nodejs の IsAllowedHost 関数には IP アドレスが無効化かどうかを
正しく検証しない問題があるため、リモートの攻撃者による DNS
リバインド攻撃を可能とする脆弱性が存在します。(CVE-2022-43548)

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2021-44906
Minimist <=1.2.5 is vulnerable to Prototype Pollution via file index.js, function setKey() (lines 69-95).
CVE-2022-3517
A vulnerability was found in the minimatch package. This flaw allows a Regular Expression Denial of Service (ReDoS) when calling the braceExpand function with specific arguments, resulting in a Denial of Service.
CVE-2022-35256
The llhttp parser in the http module in Node v18.7.0 does not correctly handle header fields that are not terminated with CLRF. This may result in HTTP Request Smuggling.
CVE-2022-43548
A OS Command Injection vulnerability exists in Node.js versions <14.21.1, <16.18.1, <18.12.1, <19.0.1 due to an insufficient IsAllowedHost check that can easily be bypassed because IsIPAddress does not properly check if an IP address is invalid before making DBS requests allowing rebinding attacks.The fix for this issue in https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-32212 was incomplete and this new CVE is to complete the fix.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. nodejs-nodemon-2.0.20-2.el9.src.rpm
    MD5: 19c1a592bd158c88c90d915a11556f7b
    SHA-256: f5e1cc73b9eeeecd1f5d1cf9df651380c896a5548f64c3fe8f11b496a23726c1
    Size: 854.47 kB
  2. nodejs-16.18.1-3.el9.src.rpm
    MD5: 7438473e018b5a2b3d40930c0b83cc35
    SHA-256: 26bd9d6b1c334cdea761ad2b31781bae424bd3bcd98112aa1cf9d471bf1fe2d1
    Size: 70.54 MB

Asianux Server 9 for x86_64
  1. nodejs-nodemon-2.0.20-2.el9.noarch.rpm
    MD5: 3782fc6777e9f4d31f6df7bcba2adadf
    SHA-256: fa7c713f1a87612c362c0f666dddf99b105a12ba97599a9d738c1cb6fd115ba6
    Size: 508.02 kB
  2. nodejs-16.18.1-3.el9.x86_64.rpm
    MD5: 2a8bf4f447f77213518705ea5d92adc8
    SHA-256: 43064fc02e1669bdb8e67c184b0efccc1baf6b384383e72cf5e79741f1f09af1
    Size: 111.20 kB
  3. nodejs-docs-16.18.1-3.el9.noarch.rpm
    MD5: 96ab671ae8c6a2f9083a429ac1dcb6b9
    SHA-256: 2729f62318dbfb53df38db9710d3531644a9c9279b32b68727a3f5c77e56217a
    Size: 7.03 MB
  4. nodejs-full-i18n-16.18.1-3.el9.x86_64.rpm
    MD5: d9608bf5c97371b605b1c1adbd4cd5c2
    SHA-256: b09cec6b0a7c7f794bd4b271d18f3deffa2dab1e01967f2e7e4a8231f6ab5f9a
    Size: 8.22 MB
  5. nodejs-libs-16.18.1-3.el9.x86_64.rpm
    MD5: 6a92ea7c740a712dee155f580920c388
    SHA-256: 82d615f643fce10969f1a1b9b326ffe98b62f4aad31063a6dfa759c30beedfd9
    Size: 14.43 MB
  6. npm-8.19.2-1.16.18.1.3.el9.x86_64.rpm
    MD5: 7e3b666562c1771dc584700c3eb2f3a2
    SHA-256: f8c97a89f9641050e341588ec978f2de01ca5633e0219f0412c11ba6903694d9
    Size: 1.79 MB
  7. nodejs-libs-16.18.1-3.el9.i686.rpm
    MD5: 154659aa8c91ea1e6ac0db107f55cb12
    SHA-256: 3d1eef529529bb34798a6e84c8ca68e4376e833ed714f896a951ef0179d3ba9c
    Size: 15.07 MB