推广 热搜: 京东  联通  iphone11  摄像头  企业存储  XSKY  京东智能采购  iPhone  网络安全  自动驾驶 

云安全日报210927:红帽NodeJS软件开发平台发现重要安全漏洞,需要尽快升级

   日期:2021-09-27     来源:TechWeb.com.cn    作者:itcg    浏览:303    我要评论    
导读:Node.js是一个软件开发平台,用于使用JavaScript编程语言构建快速且可扩展的网络应用程序。9月27日,RedHat发布了安全更新�

Node.js是一个软件开发平台,用于使用Javascript编程语言构建快速且可扩展的网络应用程序。9月27日,RedHat发布了安全更新,修复了红帽NodeJS软件开发平台中发现的一些重要漏洞。以下是漏洞详情:

漏洞详情

来源:https://access.redhat.com/errata/RHSA-2021:3666

1.CVE-2021-22930 CVSS评分:9.8 严重程度:重要

在 Node.js 中发现了一个漏洞,它容易受到释放后使用攻击。此漏洞允许攻击者利用内存损坏,从而导致进程行为发生变化。此漏洞的最大威胁是机密性和完整性。

2.CVE-2021-32803 CVSS评分:8.3 严重程度:高

npm 包“tar”(又名 node-tar)由于符号链接保护不足而具有任意文件创建/覆盖漏洞。`node-tar` 旨在保证不会提取任何位置将被符号链接修改的文件。这部分是通过确保提取的目录不是符号链接来实现的。此外,为了防止不必要的 `stat` 调用来确定给定的路径是否是目录,在创建目录时会缓存路径。

3.CVE-2021-32804 CVSS评分:8.1 严重程度:高

由于绝对路径清理不足,npm 包“tar”(又名 node-tar)具有任意文件创建/覆盖漏洞。node-tar 旨在通过在 `preservePaths` 标志未设置为 `true` 时将绝对路径转换为相对路径来防止提取绝对文件路径。这是通过从包含在 tar 文件中的任何绝对文件路径中剥离绝对路径根来实现的。

4.CVE-2021-22940 CVSS评分:7.5 严重程度:高

在 Node.js 中发现了一个漏洞,它容易受到释放后使用攻击。此漏洞允许攻击者利用内存损坏来更改进程行为。此漏洞的最大威胁是机密性和完整性。

5.CVE-2021-23343 CVSS评分:5.3 严重程度:中

在 nodejs-path-parse 中发现了一个漏洞。包路径解析的所有版本都容易受到通过 splitDeviceRe、splitTailRe 和 splitPathRe 正则表达式的正则表达式拒绝服务 (ReDoS) 攻击。ReDoS 表现出多项式最坏情况时间复杂度。

受影响产品和版本

Red Hat Enterprise Linux for x86_64 8 x86_64

Red Hat Enterprise Linux for x86_64 - Extended Update Support 8.4 x86_64

Red Hat Enterprise Linux Server - AUS 8.4 x86_64

Red Hat Enterprise Linux for IBM z Systems 8 s390x

Red Hat Enterprise Linux for IBM z Systems - Extended Update Support 8.4 s390x

Red Hat Enterprise Linux for Power, little endian 8 ppc64le

Red Hat Enterprise Linux for Power, little endian - Extended Update Support 8.4 ppc64le

Red Hat Enterprise Linux Server - TUS 8.4 x86_64

Red Hat Enterprise Linux for ARM 64 8 aarch64

Red Hat Enterprise Linux for ARM 64 - Extended Update Support 8.4 aarch64

Red Hat Enterprise Linux Server (for IBM Power LE) - Update Services for SAP Solutions 8.4 ppc64le

Red Hat Enterprise Linux Server - Update Services for SAP Solutions 8.4 x86_64

解决方案

nodejs:14 模块的更新现在可用于 Red Hat Enterprise Linux 8.

有关如何应用此更新(包括本公告中描述的更改)的详细信息,请参阅:

https://access.redhat.com/articles/11258

查看更多漏洞信息 以及升级请访问官网:

https://access.redhat.com/security/security-updates/#/security-advisories

 
反对 0举报 0 收藏 0 打赏 0评论 0
 
更多>同类资讯

头条阅读
推荐图文
相关资讯
网站首页  |  物流配送  |  关于我们  |  联系方式  |  使用协议  |  版权隐私  |  网站地图  |  排名推广  |  广告服务  |  积分换礼  |  RSS订阅  |  违规举报  |  京ICP备14047533号-2
Processed in 0.056 second(s), 11 queries, Memory 0.46 M