Node.js是一个软件开发平台,用于使用Javascript编程语言构建快速且可扩展的网络应用程序。9月27日,RedHat发布了安全更新,修复了红帽NodeJS软件开发平台中发现的一些重要漏洞。以下是漏洞详情:
漏洞详情
来源:https://access.redhat.com/errata/RHSA-2021:3666
1.CVE-2021-22930 CVSS评分:9.8 严重程度:重要
在 Node.js 中发现了一个漏洞,它容易受到释放后使用攻击。此漏洞允许攻击者利用内存损坏,从而导致进程行为发生变化。此漏洞的最大威胁是机密性和完整性。
2.CVE-2021-32803 CVSS评分:8.3 严重程度:高
npm 包“tar”(又名 node-tar)由于符号链接保护不足而具有任意文件创建/覆盖漏洞。`node-tar` 旨在保证不会提取任何位置将被符号链接修改的文件。这部分是通过确保提取的目录不是符号链接来实现的。此外,为了防止不必要的 `stat` 调用来确定给定的路径是否是目录,在创建目录时会缓存路径。
3.CVE-2021-32804 CVSS评分:8.1 严重程度:高
由于绝对路径清理不足,npm 包“tar”(又名 node-tar)具有任意文件创建/覆盖漏洞。node-tar 旨在通过在 `preservePaths` 标志未设置为 `true` 时将绝对路径转换为相对路径来防止提取绝对文件路径。这是通过从包含在 tar 文件中的任何绝对文件路径中剥离绝对路径根来实现的。
4.CVE-2021-22940 CVSS评分:7.5 严重程度:高
在 Node.js 中发现了一个漏洞,它容易受到释放后使用攻击。此漏洞允许攻击者利用内存损坏来更改进程行为。此漏洞的最大威胁是机密性和完整性。
5.CVE-2021-23343 CVSS评分:5.3 严重程度:中
在 nodejs-path-parse 中发现了一个漏洞。包路径解析的所有版本都容易受到通过 splitDeviceRe、splitTailRe 和 splitPathRe 正则表达式的正则表达式拒绝服务 (ReDoS) 攻击。ReDoS 表现出多项式最坏情况时间复杂度。
受影响产品和版本
Red Hat Enterprise Linux for x86_64 8 x86_64
Red Hat Enterprise Linux for x86_64 - Extended Update Support 8.4 x86_64
Red Hat Enterprise Linux Server - AUS 8.4 x86_64
Red Hat Enterprise Linux for IBM z Systems 8 s390x
Red Hat Enterprise Linux for IBM z Systems - Extended Update Support 8.4 s390x
Red Hat Enterprise Linux for Power, little endian 8 ppc64le
Red Hat Enterprise Linux for Power, little endian - Extended Update Support 8.4 ppc64le
Red Hat Enterprise Linux Server - TUS 8.4 x86_64
Red Hat Enterprise Linux for ARM 64 8 aarch64
Red Hat Enterprise Linux for ARM 64 - Extended Update Support 8.4 aarch64
Red Hat Enterprise Linux Server (for IBM Power LE) - Update Services for SAP Solutions 8.4 ppc64le
Red Hat Enterprise Linux Server - Update Services for SAP Solutions 8.4 x86_64
解决方案
nodejs:14 模块的更新现在可用于 Red Hat Enterprise Linux 8.
有关如何应用此更新(包括本公告中描述的更改)的详细信息,请参阅:
https://access.redhat.com/articles/11258
查看更多漏洞信息 以及升级请访问官网:
https://access.redhat.com/security/security-updates/#/security-advisories
