Node.js 是一款用于使用 JavaScript 构建高性能、可扩展网络应用的开发平台。最近有安全公告披露了红帽 Node.js 软件开发平台中存在的若干重要漏洞,建议尽快升级以降低潜在风险。以下为漏洞要点与处置要点的整理。
漏洞要点
1. CVE-2021-22930
CVSS 9.8,重要级别。该漏洞属于释放后使用攻击(Use-After-Free),可导致内存损坏并改变进程行为,对机密性与完整性造成威胁。
2. CVE-2021-32803
CVSS 8.3,高危。NPM 包“tar”(node-tar)存在符号链接保护不足导致的任意文件创建/覆盖漏洞。该包在提取文件时原本应避免被符号链接修改的文件,但存在绕过点,且在创建目录时会缓存路径以减少不必要的 stat 调用。
3. CVE-2021-32804
CVSS 8.1,高危。与上述漏洞相关联,因绝对路径处理不充分,node-tar 的提取在未将绝对路径转换为相对路径时存在任意文件创建/覆盖风险。这一机制通过剥离路径根实现对绝对路径的限制。
4. CVE-2021-22940
CVSS 7.5,高危。再次暴露出释放后使用攻击的可能,内存损坏被利用后可改变进程行为,对机密性与完整性造成威胁。
5. CVE-2021-23343
CVSS 5.3,中等。nodejs-path-parse 中的正则表达式可能引发正则表达式拒绝服务(ReDoS)攻击,影响所有版本的路径解析包,导致多项式时间复杂度的 worst-case 行为。
受影响的版本与环境
以下环境版本可能受影响:
- Red Hat Enterprise Linux for x86_64 8 x86_64
- Red Hat Enterprise Linux for x86_64 – Extended update support 8.4 x86_64
- Red Hat Enterprise Linux Server – AUS 8.4 x86_64
- Red Hat Enterprise Linux for IBM z systems 8 s390x
- Red Hat Enterprise Linux for IBM z systems – Extended update support 8.4 s390x
- Red Hat Enterprise Linux for Power, Little Endian 8 pPC64le
- Red Hat Enterprise Linux for Power, Little Endian – Extended update support 8.4 pPC64le
- Red Hat Enterprise Linux Server – TUS 8.4 x86_64
- Red Hat Enterprise Linux for ARM 64 8 aarch64
- Red Hat Enterprise Linux for ARM 64 – Extended update support 8.4 aarch64
- Red Hat Enterprise Linux Server (for IBM Power LE) – update Services for SAP solutions 8.4 pPC64le
- Red Hat Enterprise Linux Server – update Services for SAP solutions 8.4 x86_64
应对与解决方案
针对 Node.js 8 系列及相关模块的安全更新现已提供。建议尽快应用更新以修补上述漏洞。
升级方案概览:
- 安装更新后的 nodejs:12 模块,适用于 Red Hat Enterprise Linux 8 及相关子版本。
- 在正式环境应用前,请先在测试环境完成变更验证,确保应用兼容性与功能正常。
更多漏洞信息与升级指南,请参阅官方公告与安全更新页面:
公告与变更说明: [[[IMG_1]]]
相关漏洞信息及升级请访问官网与安全更新页:
https://access.redhat.com/security/security-updates/#/security-advisories
进一步信息
关于如何应用此次更新(包括公告中描述的变更),可参考以下链接以获取详细步骤与注意事项:
https://access.redhat.com/articles/11258
如需了解更多漏洞信息,请查看官方漏洞目录并关注后续更新。 [[[IMG_2]]]
