nodejs:16 security, bug fix, and enhancement update
エラータID: AXSA:2023-5262:01
以下項目について対処しました。
[Security Fix]
- Node.js の glob-parent パッケージには、リモートの攻撃者により、
特定パターンの文字列の入力を介して、正規表現によるサービス拒否
攻撃を可能とする脆弱性が存在します。(CVE-2021-35065)
- Node.js の c-ares パッケージの ares_set_sortlist 関数には、入力文字列
の妥当性を確認しない問題があるため、リモートの攻撃者により、細工
された文字列の入力を介して、スタックオーバーフローの発生やサービス
拒否攻撃を可能とする脆弱性が存在します。(CVE-2022-4904)
- Node.js の http-cache-semantics パッケージには、リモートの攻撃者
により、悪意のあるリクエストヘッダー値の送信を介して、正規表現の
サービス拒否攻撃を可能とする脆弱性が存在します。(CVE-2022-25881)
- Node.js には、試験的な Permissions 機能をバイパスできる問題がある
ため、リモートの攻撃者により、process.mainModule.require() メソッド
の利用を介して、認証されていないモジュールへのアクセスを可能とする
脆弱性が存在します。(CVE-2023-23918)
- Node.js には、OpenSSL のエラースタックを利用後にクリアしない問題
があるため、リモートの攻撃者により、同一スレッド上で実行される暗号化
処理を介して、サービス拒否攻撃を可能とする脆弱性が存在します。
(CVE-2023-23919)
- Node.js には、信頼できない検索パスの問題があるため、ローカルの
攻撃者により、昇格された権限での実行を介して、ICU データの検索と
ロードを可能とする脆弱性が存在します。(CVE-2023-23920)
- Node.js の undici パッケージには、host HTTP ヘッダーを CRLF
インジェクションから保護していない問題があるため、リモートの攻撃者
により、HTTP リクエスト分割攻撃や HTTP ヘッダーインジェクション
攻撃を可能とする脆弱性が存在します。(CVE-2023-23936)
- Node.js の undici パッケージの headerValueNormalize() 関数には、
値を標準化するための正規表現が効率的でない問題があるため、リモート
の攻撃者により、Headers.set() または Headers.append() メソッドを巧妙
に細工した引数で呼び出すことを介して、正規表現によるサービス拒否
攻撃を可能とする脆弱性が存在します。(CVE-2023-24807)
Modularity name: nodejs
Stream name: 16
パッケージをアップデートしてください。
The glob-parent package before 6.0.1 for Node.js allows ReDoS (regular expression denial of service) attacks against the enclosure regular expression.
This affects versions of the package http-cache-semantics before 4.1.1. The issue can be exploited via malicious request header values sent to a server, when that server reads the cache policy from the request using this library.
A flaw was found in the c-ares package. The ares_set_sortlist is missing checks about the validity of the input string, which allows a possible arbitrary length stack overflow. This issue may cause a denial of service or a limited impact on confidentiality and integrity.
A privilege escalation vulnerability exists in Node.js <19.6.1, <18.14.1, <16.19.1 and <14.21.3 that made it possible to bypass the experimental Permissions (https://nodejs.org/api/permissions.html) feature in Node.js and access non authorized modules by using process.mainModule.require(). This only affects users who had enabled the experimental permissions option with --experimental-policy.
A cryptographic vulnerability exists in Node.js <19.2.0, <18.14.1, <16.19.1, <14.21.3 that in some cases did does not clear the OpenSSL error stack after operations that may set it. This may lead to false positive errors during subsequent cryptographic operations that happen to be on the same thread. This in turn could be used to cause a denial of service.
An untrusted search path vulnerability exists in Node.js. <19.6.1, <18.14.1, <16.19.1, and <14.21.3 that could allow an attacker to search and potentially load ICU data when running with elevated privileges.
Undici is an HTTP/1.1 client for Node.js. Starting with version 2.0.0 and prior to version 5.19.1, the undici library does not protect `host` HTTP header from CRLF injection vulnerabilities. This issue is patched in Undici v5.19.1. As a workaround, sanitize the `headers.host` string before passing to undici.
Undici is an HTTP/1.1 client for Node.js. Prior to version 5.19.1, the `Headers.set()` and `Headers.append()` methods are vulnerable to Regular Expression Denial of Service (ReDoS) attacks when untrusted values are passed into the functions. This is due to the inefficient regular expression used to normalize the values in the `headerValueNormalize()` utility function. This vulnerability was patched in v5.19.1. No known workarounds are available.
N/A
SRPMS
- nodejs-nodemon-2.0.20-3.module+el8+1593+425c4d7d.src.rpm
MD5: 82b2a94511e13dd822d87af8a8dd667f
SHA-256: 2464cf691eba6f968b511460cc248dcc081bfe306131211071da6aa3ed9d37fc
Size: 395.30 kB - nodejs-packaging-25-1.module+el8+1593+425c4d7d.src.rpm
MD5: 74d116e51470f960562b5df76469f191
SHA-256: 4f3c0b921310a9cdad29b0ea5650f84fba2a7e461a93bf93a5481134a085ca49
Size: 26.81 kB - nodejs-16.19.1-1.module+el8+1593+425c4d7d.src.rpm
MD5: cec5e174c1773baf829de2f3ed4e1148
SHA-256: 8f7352266018ead4c76bf6d5691d7f40f582a1001af4cecdc5649d90b3805e8d
Size: 70.81 MB
Asianux Server 8 for x86_64
- nodejs-16.19.1-1.module+el8+1593+425c4d7d.x86_64.rpm
MD5: 88ae8974393d9fcf047404e06041d678
SHA-256: fcfa423ce2d004a2155d08df1c79d2a83f6a44e0350da79a7b79b3d0cf911e6f
Size: 12.27 MB - nodejs-debugsource-16.19.1-1.module+el8+1593+425c4d7d.x86_64.rpm
MD5: 70193c04d0f8d291250400d5cae62b5f
SHA-256: 9f4d87066b392c342e2e594590e124d2718f899e7b32f707bdce226c835b2386
Size: 13.04 MB - nodejs-devel-16.19.1-1.module+el8+1593+425c4d7d.x86_64.rpm
MD5: fbbbf2a3809bd13b0b96bfd3b47acaea
SHA-256: 83fb8c0f25669ccb49c882264ba85679c475d717574087bb8235fa48bf895642
Size: 191.98 kB - nodejs-docs-16.19.1-1.module+el8+1593+425c4d7d.noarch.rpm
MD5: 2beba2431a666daf69f1b47a07016501
SHA-256: 6e91239efc4fae4f9280d4c4e635de4cbbdd8545a0127213dc27633f16c55b5a
Size: 9.34 MB - nodejs-full-i18n-16.19.1-1.module+el8+1593+425c4d7d.x86_64.rpm
MD5: 1c681e6c78596ec1cbe0179fc2fd2688
SHA-256: 9dbe4843be93d164728915863973b943d38066ce0453e1a11b591183667d0fd1
Size: 8.01 MB - nodejs-nodemon-2.0.20-3.module+el8+1593+425c4d7d.noarch.rpm
MD5: 78187ed5c19fc0d33c432d41e435179b
SHA-256: 5ef6f234826659375714a81788fee9cec9d35388d15f12cdc16b826f15147ff9
Size: 272.63 kB - nodejs-packaging-25-1.module+el8+1593+425c4d7d.noarch.rpm
MD5: 679e466efb4223a0cd1c298b3bfd92b5
SHA-256: ea589d101b3f374b00ef5363331c6aca38030fe20a9179c73289209dd54be500
Size: 23.19 kB - npm-8.19.3-1.16.19.1.1.module+el8+1593+425c4d7d.x86_64.rpm
MD5: f5c19acefee2bc8798176f28168a5668
SHA-256: f64ebe0c66e8e8c5384d48d82f1771008273fbe513d6ae1ac8370997ac3110b2
Size: 1.88 MB
English