nodejs:18 security update

エラータID: AXSA:2024-8777:01

リリース日: 
2024/09/05 Thursday - 14:29
題名: 
nodejs:18 security update
影響のあるチャネル: 
Asianux Server 8 for x86_64
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- Node.js のネットワークインポート機能には、ローカル
の攻撃者により、細工されたデータ URL のネットワーク
インポートを介して、任意のコードの実行を可能とする
脆弱性が存在します。(CVE-2024-22020)

- Node.js の node-tar には、作成するサブディレクトリの
数を制限していない問題があるため、リモートの攻撃者
により、細工された TAR 形式のアーカイブファイルの
展開処理を介して、サービス拒否攻撃 (リソース枯渇) を
可能とする脆弱性が存在します。(CVE-2024-28863)

Modularity name: nodejs
Stream name: 18

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2024-22020
A security flaw in Node.js allows a bypass of network import restrictions. By embedding non-network imports in data URLs, an attacker can execute arbitrary code, compromising system security. Verified on various platforms, the vulnerability is mitigated by forbidding data URLs in network imports. Exploiting this flaw can violate network import security, posing a risk to developers and servers.
CVE-2024-28863
node-tar is a Tar for Node.js. node-tar prior to version 6.2.1 has no limit on the number of sub-folders created in the folder creation process. An attacker who generates a large number of sub-folders can consume memory on the system running node-tar and even crash the Node.js client within few seconds of running it using a path with too many sub-folders inside. Version 6.2.1 fixes this issue by preventing extraction in excessively deep sub-folders.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. nodejs-nodemon-3.0.1-1.module+el8+1805+81f0f5e1.src.rpm
    MD5: c97f9a2a8cc489f44117616f71ef260f
    SHA-256: e49fcba49204e87b7c962bd751ff9b75d17d18632ed278e9ba800e79df393aa7
    Size: 340.68 kB
  2. nodejs-packaging-2021.06-4.module+el8+1805+81f0f5e1.src.rpm
    MD5: 969f89735a5708e8c771942455445e8a
    SHA-256: 136e4e7d613c7940a85245f8be0b249d640b5bb9305bdbf31d21ec5712ac7bba
    Size: 30.29 kB
  3. nodejs-18.20.4-1.module+el8+1805+81f0f5e1.src.rpm
    MD5: d86d06a12b4442852b83b2c71a053335
    SHA-256: caea2ed007b3b7fdddd339b60433dd89d15297008c903c7aeba15c2a6ac6611f
    Size: 122.25 MB

Asianux Server 8 for x86_64
  1. nodejs-18.20.4-1.module+el8+1805+81f0f5e1.x86_64.rpm
    MD5: 840ddbdab97bb31f9a34d6fd7c128908
    SHA-256: f67896e0e4aa3dfd0a132c44cd7ce7c80cdfe30934a1f1610c6da01b355cee1d
    Size: 13.35 MB
  2. nodejs-debugsource-18.20.4-1.module+el8+1805+81f0f5e1.x86_64.rpm
    MD5: 6923f0512500757a5d38879e1c7c41dd
    SHA-256: 3ad5c536081bb3bf38762088141a4c9f905709c13f750c080b3af8dcfd2a6eab
    Size: 14.38 MB
  3. nodejs-devel-18.20.4-1.module+el8+1805+81f0f5e1.x86_64.rpm
    MD5: 36b25c0e88cbee35a92c7b6a14d43371
    SHA-256: a7032d8da404bd23fc68a9c34885b76709b9ef6430e3fb8c087ba4fefb44ed94
    Size: 208.14 kB
  4. nodejs-docs-18.20.4-1.module+el8+1805+81f0f5e1.noarch.rpm
    MD5: 0e4acbece2dc567f8c5e64b1de6aa735
    SHA-256: 6bec8d9b8712e8d9d2f923e0d11dd31ce8de117bb76f4e1c18c8a44e37be7103
    Size: 10.18 MB
  5. nodejs-full-i18n-18.20.4-1.module+el8+1805+81f0f5e1.x86_64.rpm
    MD5: 228875af236c7f070f0e5a119f129815
    SHA-256: db2e88e3afcbd26b264e04687be33b03f401be5e0049b779427c372d5ea701a0
    Size: 8.17 MB
  6. nodejs-nodemon-3.0.1-1.module+el8+1805+81f0f5e1.noarch.rpm
    MD5: 124300891aafb44d673c63a8a9c64d96
    SHA-256: 4da90ce376fa5276d648aa555c0a7b86c320dc31c1e1e98866375e6c823c8bd0
    Size: 282.10 kB
  7. nodejs-packaging-2021.06-4.module+el8+1805+81f0f5e1.noarch.rpm
    MD5: 9c2ac4e6c14c9342599dca1e848d0689
    SHA-256: 0479477d573e5cbe7fb64efd504232cf0c9dfe63f30efb3d845d9038a8d128b1
    Size: 24.14 kB
  8. nodejs-packaging-bundler-2021.06-4.module+el8+1805+81f0f5e1.noarch.rpm
    MD5: 7b65995b7c3300e3b99d1c646c853a86
    SHA-256: 4ed3df9e0e4f6cdd5bddd5608bfcf7710b5c5e3cee69dfb87c01d00852cab46a
    Size: 13.76 kB
  9. npm-10.7.0-1.18.20.4.1.module+el8+1805+81f0f5e1.x86_64.rpm
    MD5: cef99c7a5aac21ac8cb81c7b8e5427fa
    SHA-256: 2ce50aacf2dd3482b571b5d483372f9e7c1852950386e4309fa299b05e133bfd
    Size: 2.02 MB