Node.js是一个软件开发平台,用于使用JavaScript编程语言构建快速且可扩展的网络应用程序。RedHat发布了安全更新,修复了红帽nodejs软件开发平台中发现的一些重要漏洞。以下是漏洞详情:
漏洞详情
来源:https://access.redhat.com/errata/RHSA-2021:3666
1.CVE-2021-22930 CVSS评分:9.8 严重程度:重要 在Node.js中发现了一个漏洞,它容易受到释放后使用攻击。此漏洞允许攻击者利用内存损坏,从而导致进程行为发生变化。此漏洞的最大威胁是机密性和完整性。
2.CVE-2021-32803 CVSS评分:8.3 严重程度:高 NPM包”tar”(又名node-tar)由于符号链接保护不足而具有任意文件创建/覆盖漏洞。node-tar旨在保证不会提取任何位置将被符号链接修改的文件。这部分是通过确保提取的目录不是符号链接来实现的。此外,为了防止不必要的stat调用来确定给定的路径是否是目录,在创建目录时会缓存路径。
3.CVE-2021-32804 CVSS评分:8.1 严重程度:高 由于绝对路径清理不足,NPM包”tar”(又名node-tar)具有任意文件创建/覆盖漏洞。node-tar旨在通过在preservePaths标志未设置为true时将绝对路径转换为相对路径来防止提取绝对文件路径。这是通过从包含在tar文件中的任何绝对文件路径中剥离绝对路径根来实现的。
4.CVE-2021-22940 CVSS评分:7.5 严重程度:高 在Node.js中发现了一个漏洞,它容易受到释放后使用攻击。此漏洞允许攻击者利用内存损坏来更改进程行为。此漏洞的最大威胁是机密性和完整性。
5.CVE-2021-23343 CVSS评分:5.3 严重程度:中 在nodejs-path-parse中发现了一个漏洞。包路径解析的所有版本都容易受到通过splitDeviceRe、splitTailRe和splitPathRe正则表达式的正则表达式拒绝服务(ReDoS)攻击。ReDoS表现出多项式最坏情况时间复杂度。
受影响产品和版本
Red Hat Enterprise Linux for x86_64 8 x86_64 Red Hat Enterprise Linux for x86_64 – Extended update support 8.4 x86_64 Red Hat Enterprise Linux Server – AUS 8.4 x86_64 Red Hat Enterprise Linux for IBM z systems 8 s390x Red Hat Enterprise Linux for IBM z systems – Extended update support 8.4 s390x Red Hat Enterprise Linux for Power, little endian 8 pPC64le Red Hat Enterprise Linux for Power, little endian – Extended update support 8.4 pPC64le Red Hat Enterprise Linux Server – TUS 8.4 x86_64 Red Hat Enterprise Linux for ARM 64 8 aarch64 Red Hat Enterprise Linux for ARM 64 – Extended update support 8.4 aarch64 Red Hat Enterprise Linux Server (for IBM Power LE) – update Services for SAP solutions 8.4 pPC64le Red Hat Enterprise Linux Server – update Services for SAP solutions 8.4 x86_64
解决方案
nodejs:14 模块的更新现在可用于 Red Hat Enterprise Linux 8. 有关如何应用此更新(包括本公告中描述的更改)的详细信息,请参阅: https://access.redhat.com/articles/11258 查看更多漏洞信息 以及升级请访问官网: https://access.redhat.com/security/security-updates/#/security-advisories
