nodejs:18 security update

エラータID: AXSA:2024-7739:01

リリース日: 
2024/05/10 Friday - 21:53
題名: 
nodejs:18 security update
影響のあるチャネル: 
Asianux Server 8 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- Node.js の fetch() 関数には、リモートの攻撃者により、
細工された URL を介して、サービス拒否攻撃 (メモリ枯渇)
を可能とする脆弱性が存在します。(CVE-2024-22025)

- c-ares の ares__read_line() 関数には、バッファー領域
の範囲外読み取りの問題があるため、ローカルの攻撃者に
より、/etc/resolv.conf、/etc/nsswitch.conf、HOSTALIASES、
/etc/hosts ファイルなどの解析対象のファイルの行の冒頭に
NULL 文字が埋め込まれるように細工されたファイルの処理
を介して、サービス拒否攻撃 (クラッシュの発生) を可能と
する脆弱性が存在します。(CVE-2024-25629)

- Node.js の HTTP サーバー機能には、Content Length ヘッダー
の前に空白文字が含まれている場合の解析処理に問題がある
ため、リモートの攻撃者により、細工された HTTP リクエスト
を介して、HTTP リクエストスマグリング攻撃、およびクロス
サイトスクリプティング攻撃を可能とする脆弱性が存在します。
(CVE-2024-27982)

- Node.js の HTTP/2 プロトコルの実装には、単一ストリーム
内で送信可能な CONTINUATION フレームのサイズが制限されて
いない問題があるため、リモートの攻撃者により、細工された
HTTP/2 CONTINUATION フレームを含むパケットの送信を
介して、サービス拒否攻撃 (メモリ枯渇) を可能とする脆弱性
が存在します。(CVE-2024-27983)

- nghttp2 の HTTP/2 プロトコルスタックには、HPACK
コンテキストのストリームのリセット後も
HTTP/2 CONTINUATION フレームを読み取り続けてしまう問題
があるため、リモートの攻撃者により、細工されたパケットの
送信を介して、サービス拒否攻撃 (CPU リソースおよびメモリ
の枯渇) を可能とする脆弱性が存在します。(CVE-2024-28182)

Modularity name: nodejs
Stream name: 18

解決策: 

パッケージをアップデートしてください。

追加情報: 

N/A

ダウンロード: 

SRPMS
  1. nodejs-nodemon-3.0.1-1.module+el8+1749+ce37324f.src.rpm
    MD5: 46036e93af486a2e0bac31d7d9a76da7
    SHA-256: 4b5b94af5c84b69e5c9f796a18e3294ae1ae3cb0d07a4d5649846c25033315a5
    Size: 340.68 kB
  2. nodejs-packaging-2021.06-4.module+el8+1749+ce37324f.src.rpm
    MD5: a369a9aefb9bcec3f691656af8b05cc0
    SHA-256: 580c831e798148f8ae08b1bf85574b0e10ab7876ff69e2c8d3c76af2581d2acf
    Size: 30.29 kB
  3. nodejs-18.20.2-1.module+el8+1749+ce37324f.src.rpm
    MD5: 9a9cb87927420814075fae5ac84daf63
    SHA-256: 431c6c61e20bd5380b3d17f1749010040e184daf927309f677943039f3d871ae
    Size: 123.13 MB

Asianux Server 8 for x86_64
  1. nodejs-18.20.2-1.module+el8+1749+ce37324f.x86_64.rpm
    MD5: 0cfc11cb8698b575fe695655de6f9d58
    SHA-256: ac94dd40fa46884a98dc7d3f7a394917e72d1468f417180e2fec28025b9852d1
    Size: 13.33 MB
  2. nodejs-debugsource-18.20.2-1.module+el8+1749+ce37324f.x86_64.rpm
    MD5: db4cf29cb37d0e2547faef1f58cf8cd3
    SHA-256: f8b96dd68571900b0fa89f41dfc9bc105161acc438ace88d2edfb5c65a791dac
    Size: 14.35 MB
  3. nodejs-devel-18.20.2-1.module+el8+1749+ce37324f.x86_64.rpm
    MD5: b3870b39360f115f60a20c8f47cba1d9
    SHA-256: 7932ff652337baf4ed3846e576f7822ef5e16ca19962ba3e41cadd662c5efc05
    Size: 208.26 kB
  4. nodejs-docs-18.20.2-1.module+el8+1749+ce37324f.noarch.rpm
    MD5: 7cc841da8a65d5025511c1fe71b2af7e
    SHA-256: 60c76d89385a7ffd9a931ec7db0b703a1fc5c67569389f6bb602423e0a905511
    Size: 10.17 MB
  5. nodejs-full-i18n-18.20.2-1.module+el8+1749+ce37324f.x86_64.rpm
    MD5: 25de2cb7d97315bf78b9a980880b86f0
    SHA-256: 440175c353cbed441e74ce4c14bd78de07082765513ac21c064b0ebe9f9380db
    Size: 8.17 MB
  6. nodejs-nodemon-3.0.1-1.module+el8+1749+ce37324f.noarch.rpm
    MD5: aa5822603e86b5c9f8f6ab0aa6edfee8
    SHA-256: dcd5ffd890b37a2d76625ef4061177dc22d3a0ee7f7705c864efd726d5d9ed6a
    Size: 282.08 kB
  7. nodejs-packaging-2021.06-4.module+el8+1749+ce37324f.noarch.rpm
    MD5: fadd2fc0646ed6d92d3882cbd3d9348f
    SHA-256: cbd9bddd0d209012d5ba6602f9d6485abfe514977723bb7f25a059236bb2e364
    Size: 24.14 kB
  8. nodejs-packaging-bundler-2021.06-4.module+el8+1749+ce37324f.noarch.rpm
    MD5: 7edf4b35d659bba21fd93e3aa3d32bdf
    SHA-256: 4adc765ec1edef2df0e9c1c2cc68ec79381af906c6bf781bf236dcbb055a8b3f
    Size: 13.76 kB
  9. npm-10.5.0-1.18.20.2.1.module+el8+1749+ce37324f.x86_64.rpm
    MD5: 0fc435c435fd53b4e3204ff5bf408677
    SHA-256: b0e4f26bc797294c58bcf25555a4012f4eb05606f8002d65618a072a54c54ab6
    Size: 2.06 MB