Oracle Linux 8:nodejs: 12 (ELSA-2020-2852)

high Nessus 插件 ID 138482

简介

远程 Oracle Linux 主机缺少一个或多个安全更新。

描述

远程 Oracle Linux 8 主机上安装的程序包受到 ELSA-2020-2852 公告中提及的多个漏洞的影响。

- 版本低于 1.41.0 的 nghttp2 中的 HTTP/2 SETTINGS 框架负载过大,可能会造成拒绝服务。
概念验证攻击中,涉及恶意客户端会反复构建长度为 14,400 字节(2400 个单独的设置条目)的 SETTINGS 框架。此攻击会造成 CPU 使用率峰值达到 100%。nghttp2 v1.41.0 修复了此漏洞。存在针对此漏洞的变通方案。实现 nghttp2_on_frame_recv_callback 回调,如果所接收的框架为 SETTINGS 框架,且设置条目的数量很大(例如,大于 32),则断开连接。(CVE-2020-11080)

- 版本低于 1.2.2 的 minimist 可能遭到诱骗,使用构造函数或 __proto__ 负载添加或修改 Object.prototype 属性。(CVE-2020-7598)

- TLS 会话重用可在版本低于 12.18.0 和 14.4.0 的节点中,造成主机证书验证绕过。
(CVE-2020-8172)

- napi_get_value_string_*() 可在节点(版本早于 10.21.0 或 14.4.0 或为 12.18.0)中造成多种内存损坏。(CVE-2020-8174)

请注意,Nessus 尚未测试此问题,而是只依赖于应用程序自我报告的版本号。

解决方案

更新受影响的程序包。

另见

https://linux.oracle.com/errata/ELSA-2020-2852.html

插件详情

严重性: High

ID: 138482

文件名: oraclelinux_ELSA-2020-2852.nasl

版本: 1.8

类型: local

代理: unix

发布时间: 2020/8/13

最近更新时间: 2024/2/26

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Nessus

风险信息

VPR

风险因素: High

分数: 7.4

CVSS v2

风险因素: High

基本分数: 9.3

时间分数: 7.3

矢量: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2020-8174

CVSS v3

风险因素: High

基本分数: 8.1

时间分数: 7.3

矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

漏洞信息

CPE: cpe:/o:oracle:linux:8, p-cpe:/a:oracle:linux:nodejs, p-cpe:/a:oracle:linux:nodejs-devel, p-cpe:/a:oracle:linux:nodejs-docs, p-cpe:/a:oracle:linux:nodejs-full-i18n, p-cpe:/a:oracle:linux:nodejs-nodemon, p-cpe:/a:oracle:linux:nodejs-packaging, p-cpe:/a:oracle:linux:npm

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux

可利用: true

易利用性: Exploits are available

补丁发布日期: 2020/7/14

漏洞发布日期: 2020/3/11

参考资料信息

CVE: CVE-2020-11080, CVE-2020-7598, CVE-2020-8172, CVE-2020-8174