nodejs:18 security, bug fix, and enhancement update
エラータID: AXSA:2023-6072:01
以下項目について対処しました。
[Security Fix]
- Node.js の glob-parent パッケージには、リモートの攻撃者により、
特定パターンの文字列の入力を介して、正規表現によるサービス拒否
攻撃を可能とする脆弱性が存在します。(CVE-2021-35065)
- Node.js の http-cache-semantics パッケージには、リモートの攻撃者
により、悪意のあるリクエストヘッダー値の送信を介して、正規表現の
サービス拒否攻撃を可能とする脆弱性が存在します。(CVE-2022-25881)
- Node.js の c-ares パッケージの ares_set_sortlist 関数には、入力
文字列の妥当性を確認しない問題があるため、リモートの攻撃者により、
細工された文字列の入力を介して、スタックオーバーフローの発生や
サービス拒否攻撃を可能とする脆弱性が存在します。(CVE-2022-4904)
- Node.js には、試験的な Permissions 機能をバイパスできる問題
があるため、リモートの攻撃者により、process.mainModule.require()
メソッドの利用を介して、認証されていないモジュールへのアクセスを
可能とする脆弱性が存在します。(CVE-2023-23918)
- Node.js には、OpenSSL のエラースタックを利用後にクリアしない
問題があるため、リモートの攻撃者により、同一スレッド上で実行される
暗号化処理を介して、サービス拒否攻撃を可能とする脆弱性が存在します。
(CVE-2023-23919)
- Node.js には、信頼できない検索パスの問題があるため、ローカルの
攻撃者により、昇格された権限での実行を介して、ICU データの検索と
ロードを可能とする脆弱性が存在します。(CVE-2023-23920)
- Node.js の undici パッケージには、host HTTP ヘッダーを CRLF
インジェクションから保護していない問題があるため、リモートの攻撃者
により、HTTP リクエスト分割攻撃や HTTP ヘッダーインジェクション
攻撃を可能とする脆弱性が存在します。(CVE-2023-23936)
- Node.js の undici パッケージの headerValueNormalize() 関数には、
値を標準化するための正規表現が効率的でない問題があるため、
リモートの攻撃者により、Headers.set() または Headers.append()
メソッドを巧妙に細工した引数で呼び出すことを介して、正規表現による
サービス拒否攻撃を可能とする脆弱性が存在します。(CVE-2023-24807)
Modularity name: nodejs
Stream name: 18
パッケージをアップデートしてください。
The glob-parent package before 6.0.1 for Node.js allows ReDoS (regular expression denial of service) attacks against the enclosure regular expression.
This affects versions of the package http-cache-semantics before 4.1.1. The issue can be exploited via malicious request header values sent to a server, when that server reads the cache policy from the request using this library.
A flaw was found in the c-ares package. The ares_set_sortlist is missing checks about the validity of the input string, which allows a possible arbitrary length stack overflow. This issue may cause a denial of service or a limited impact on confidentiality and integrity.
A privilege escalation vulnerability exists in Node.js <19.6.1, <18.14.1, <16.19.1 and <14.21.3 that made it possible to bypass the experimental Permissions (https://nodejs.org/api/permissions.html) feature in Node.js and access non authorized modules by using process.mainModule.require(). This only affects users who had enabled the experimental permissions option with --experimental-policy.
A cryptographic vulnerability exists in Node.js <19.2.0, <18.14.1, <16.19.1, <14.21.3 that in some cases did does not clear the OpenSSL error stack after operations that may set it. This may lead to false positive errors during subsequent cryptographic operations that happen to be on the same thread. This in turn could be used to cause a denial of service.
An untrusted search path vulnerability exists in Node.js. <19.6.1, <18.14.1, <16.19.1, and <14.21.3 that could allow an attacker to search and potentially load ICU data when running with elevated privileges.
Undici is an HTTP/1.1 client for Node.js. Starting with version 2.0.0 and prior to version 5.19.1, the undici library does not protect `host` HTTP header from CRLF injection vulnerabilities. This issue is patched in Undici v5.19.1. As a workaround, sanitize the `headers.host` string before passing to undici.
Undici is an HTTP/1.1 client for Node.js. Prior to version 5.19.1, the `Headers.set()` and `Headers.append()` methods are vulnerable to Regular Expression Denial of Service (ReDoS) attacks when untrusted values are passed into the functions. This is due to the inefficient regular expression used to normalize the values in the `headerValueNormalize()` utility function. This vulnerability was patched in v5.19.1. No known workarounds are available.
N/A
SRPMS
- nodejs-nodemon-2.0.20-2.module+el9+1012+f52d1f15.src.rpm
MD5: 551bbcf7e7f368fea5c410fae6a21308
SHA-256: c8ed6145ca678ca3cc48ae381c065f6a79abeccbf854288ad648cda47a89a66c
Size: 341.80 kB - nodejs-packaging-2021.06-4.module+el9+1012+f52d1f15.src.rpm
MD5: 4e2a2b2c2d56fdbdc9334b3fa517f9cc
SHA-256: 56e8e464e4e18328940c0f13fdd166a1d40bd0c29edcf44a83d0ad565829d6bf
Size: 26.54 kB - nodejs-18.14.2-2.module+el9+1012+f52d1f15.src.rpm
MD5: c64d5df830e1451502a65c2aa15c7cde
SHA-256: cb0548ffaeb4ab54c2e8774e629803fd52551197d7f4e1a49066ef80729cfa94
Size: 175.34 MB
Asianux Server 9 for x86_64
- nodejs-18.14.2-2.module+el9+1012+f52d1f15.x86_64.rpm
MD5: de771327b94e416fa561c63975128be3
SHA-256: f3076e3ec1a409f779c07183068ea36f3656849a0ff0bb0cfcc1fbe8ad9ea929
Size: 12.29 MB - nodejs-debugsource-18.14.2-2.module+el9+1012+f52d1f15.x86_64.rpm
MD5: 1034375bf722bf81c0bc61109d067370
SHA-256: ed8d4a0b9863dc8e4bcee0c984108881bc2683f3f24093d8d6995963525cc351
Size: 11.26 MB - nodejs-devel-18.14.2-2.module+el9+1012+f52d1f15.x86_64.rpm
MD5: d8b043a6bd185dfb007ae3d76ec78413
SHA-256: 2f31e27c200be9eef46229255bea578c4bb93f7b783d34eb0034d0e441832166
Size: 183.18 kB - nodejs-docs-18.14.2-2.module+el9+1012+f52d1f15.noarch.rpm
MD5: d6df5fc9fb8bdfbcb4d77991fbb1325e
SHA-256: 96a315c396d5b23e31f5fdb80e8e91f871dcc3c246c496546835c4be841a27d5
Size: 7.42 MB - nodejs-full-i18n-18.14.2-2.module+el9+1012+f52d1f15.x86_64.rpm
MD5: 75286e93452925758e8f379656100884
SHA-256: 96135735e2b1bafea764dab0381ed51b1f7c5dae39c6f0d1ae6b0b7c68d47f1a
Size: 8.38 MB - nodejs-nodemon-2.0.20-2.module+el9+1012+f52d1f15.noarch.rpm
MD5: bd4570dd7643a19801ab247ee9a3325d
SHA-256: a5ea5be77cbb4328467b720429fbe55eed9918047a6b1f0533cabfd47792d4b2
Size: 260.76 kB - nodejs-packaging-2021.06-4.module+el9+1012+f52d1f15.noarch.rpm
MD5: 3b9dfc76be4d78cee47fdc17e7768457
SHA-256: 1e62f09f015cb95b1e5ca316b480364a517fb733570ba210981169715585e768
Size: 19.91 kB - nodejs-packaging-bundler-2021.06-4.module+el9+1012+f52d1f15.noarch.rpm
MD5: e476b8886e1f21cafabcdbbd3d71a094
SHA-256: 15e029b1e56c029eade5eed77608c8080563d34db879ef0eddbc589426f921ad
Size: 9.76 kB - npm-9.5.0-1.18.14.2.2.module+el9+1012+f52d1f15.x86_64.rpm
MD5: 19c8f346b3552d66bd864bfb940d8e09
SHA-256: 89b033ca1615d3847f283ec683d798432969bce1bc1a48e7317b7d7e9aeefa28
Size: 1.96 MB
English