Node.js 是一个用于使用 JavaScript 构建快速且可扩展网络应用的开发平台。近期发布了安全更新,修复了该平台中发现的若干重要漏洞。以下为漏洞要点与影响信息:
漏洞详情
CVE-2021-22930 CVSS 9.8 重要性:高
在 Node.js 中发现的一个内存损坏相关漏洞,攻击者可能利用在释放后使用的方式来改变进程行为,影响的主要是机密性与完整性。
CVE-2021-32803 CVSS 8.3 重要性:高
NPM 包 “tar”(node-tar)存在符号链接保护不足的问题,可能导致任意文件创建/覆盖。该包尝试通过确保提取目录不是符号链接来防护,同时在创建目录时对路径进行缓存以避免不必要的 stat 调用。
CVE-2021-32804 CVSS 8.1 重要性:高
同样来自 tar 包,因绝对路径处理不当而造成的任意文件创建/覆盖漏洞。node-tar 尝试通过将未设置 preservePaths 时的绝对路径转换为相对路径,来阻止提取绝对路径文件。
CVE-2021-22940 CVSS 7.5 重要性:高
在 Node.js 中发现的一个内存损坏相关漏洞,攻击者可能在释放后利用,进而更改进程行为,影响机密性与完整性。
CVE-2021-23343 CVSS 5.3 重要性:中
在 nodejs-path-parse 包中发现漏洞,所有版本的路径解析都易受正则表达式引发的拒绝服务(ReDoS)攻击,导致多项式级别的最坏情况时间复杂度。
受影响的产品与版本
- Red Hat Enterprise Linux for x86_64 8 x86_64
- Red Hat Enterprise Linux for x86_64 – Extended update support 8.4 x86_64
- Red Hat Enterprise Linux Server – AUS 8.4 x86_64
- Red Hat Enterprise Linux for IBM z systems 8 s390x
- Red Hat Enterprise Linux for IBM z systems – Extended update support 8.4 s390x
- Red Hat Enterprise Linux for Power, little endian 8 pPC64le
- Red Hat Enterprise Linux for Power, little endian – Extended update support 8.4 pPC64le
- Red Hat Enterprise Linux Server – TUS 8.4 x86_64
- Red Hat Enterprise Linux for ARM 64 8 aarch64
- Red Hat Enterprise Linux for ARM 64 – Extended update support 8.4 aarch64
- Red Hat Enterprise Linux Server (for IBM Power LE) – update Services for SAP solutions 8.4 pPC64le
- Red Hat Enterprise Linux Server – update Services for SAP solutions 8.4 x86_64
解决方案
已发布针对 nodejs:14 模块的更新,现已可用于相关系统版本的升级。有关如何应用此更新以及公告中描述的变更,请参阅以下链接:
[[[IMG_1]]]
如何应用此更新(详细信息)
更多漏洞信息及升级请访问官网:
https://access.redhat.com/security/security-updates/#/security-advisories
如需更多帮助,请关注官方更新公告页面以获取最新修复进展与受影响版本的具体信息。
