nodejs:18 security update

エラータID: AXSA:2024-8778:01

リリース日: 
2024/09/05 Thursday - 17:31
題名: 
nodejs:18 security update
影響のあるチャネル: 
MIRACLE LINUX 9 for x86_64
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- Node.js のネットワークインポート機能には、ローカル
の攻撃者により、細工されたデータ URL のネットワーク
インポートを介して、任意のコードの実行を可能とする
脆弱性が存在します。(CVE-2024-22020)

- Node.js の node-tar には、作成するサブディレクトリの
数を制限していない問題があるため、リモートの攻撃者
により、細工された TAR 形式のアーカイブファイルの
展開処理を介して、サービス拒否攻撃 (リソース枯渇) を
可能とする脆弱性が存在します。(CVE-2024-28863)

Modularity name: nodejs
Stream name: 18

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2024-22020
A security flaw in Node.js allows a bypass of network import restrictions. By embedding non-network imports in data URLs, an attacker can execute arbitrary code, compromising system security. Verified on various platforms, the vulnerability is mitigated by forbidding data URLs in network imports. Exploiting this flaw can violate network import security, posing a risk to developers and servers.
CVE-2024-28863
node-tar is a Tar for Node.js. node-tar prior to version 6.2.1 has no limit on the number of sub-folders created in the folder creation process. An attacker who generates a large number of sub-folders can consume memory on the system running node-tar and even crash the Node.js client within few seconds of running it using a path with too many sub-folders inside. Version 6.2.1 fixes this issue by preventing extraction in excessively deep sub-folders.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. nodejs-nodemon-3.0.1-1.module+el9+1049+02c5d63e.src.rpm
    MD5: 5d014da29fee281f17f8049715341623
    SHA-256: 175b0e1d135883d727d7930d564f32bf71195fe73bac4ff0cc0162d4b771d78a
    Size: 339.27 kB
  2. nodejs-packaging-2021.06-4.module+el9+1049+02c5d63e.src.rpm
    MD5: fd3862913a55cce9a393a556074014a3
    SHA-256: d35eb778fb21e7095360c30774c52296a5d2d333dec5b6b314b3aee504b67e50
    Size: 26.54 kB
  3. nodejs-18.20.4-1.module+el9+1049+02c5d63e.src.rpm
    MD5: f7ec583cdbe66e77995c8657528f9aae
    SHA-256: ba6f7ff6f7932e5290c7b0a2e6f7a01d1170063142334b946f96dd83387b5b17
    Size: 122.24 MB

Asianux Server 9 for x86_64
  1. nodejs-18.20.4-1.module+el9+1049+02c5d63e.x86_64.rpm
    MD5: 91ddabb1d8c868d33c8790d1d1da00f3
    SHA-256: c8625e84f5417d4eef59095c408039386f381dc0492716ecdfb4335d8c107548
    Size: 12.66 MB
  2. nodejs-debugsource-18.20.4-1.module+el9+1049+02c5d63e.x86_64.rpm
    MD5: 7195f72ac6c6baf71b5a7cd3b43fd562
    SHA-256: 3395573c0693f1a4c54545500c4351302d43f61958eabe984b5c1d239f7f38e2
    Size: 11.62 MB
  3. nodejs-devel-18.20.4-1.module+el9+1049+02c5d63e.x86_64.rpm
    MD5: 15004699d4eef5a5a25bd88b3fb0c3f1
    SHA-256: 82f3f2c52beea24305918203641d7126011f497e12b383863758b7127c17ca97
    Size: 183.43 kB
  4. nodejs-docs-18.20.4-1.module+el9+1049+02c5d63e.noarch.rpm
    MD5: 5ec10a5137489bf00d21b2d0c833ac72
    SHA-256: 60f1f9e8679e602be409f38af70d28cb4ef022d8f077be5287bf455587fb1b80
    Size: 7.77 MB
  5. nodejs-full-i18n-18.20.4-1.module+el9+1049+02c5d63e.x86_64.rpm
    MD5: eba8d7b55c883c45c19e7c2371861f17
    SHA-256: 7eac533811430184938dcaef75c671580ee080d40b5ab4e0b7d569b295c13d34
    Size: 8.43 MB
  6. nodejs-nodemon-3.0.1-1.module+el9+1049+02c5d63e.noarch.rpm
    MD5: 1424e6f05ceb27aa56d7c7eb9bc812c0
    SHA-256: 3ca4b8a5517b9ac5c8bf3e191d75e30746b5c3b22cb7e0509fb5ccafafbf4783
    Size: 268.42 kB
  7. nodejs-packaging-2021.06-4.module+el9+1049+02c5d63e.noarch.rpm
    MD5: 38dd22a34137e5e3b882ad445bb438e0
    SHA-256: eb20252a56a57231d4cb265478c60981c0f2b17e9c945b4619c79a678324469e
    Size: 19.91 kB
  8. nodejs-packaging-bundler-2021.06-4.module+el9+1049+02c5d63e.noarch.rpm
    MD5: be21bb57a8940eaea4532907bfa35501
    SHA-256: 549357aa7b5aace7c055aa6ece795b7473c369007de6b2f181f64b0086c1f5c2
    Size: 9.76 kB
  9. npm-10.7.0-1.18.20.4.1.module+el9+1049+02c5d63e.x86_64.rpm
    MD5: 5e2f0a4e73d159ae7e376619d7ace2e3
    SHA-256: 84150f5416fab88535c48fe054456beed6067ffc7c9f66399735794fb75a5433
    Size: 1.85 MB