Oracle Linux 8:nodejs: 12 (ELSA-2020-4272)
high Nessus 插件 ID 141637
语言:
简介
远程 Oracle Linux 主机缺少一个或多个安全更新。描述
远程 Oracle Linux 8 主机上安装的程序包受到 ELSA-2020-4272 公告中提及的多个漏洞的影响。- dot-prop npm 数据包 4.2.1 之前版本以及 5.1.1 之前的 5.x 版本中存在原型污染漏洞,攻击者可利用此漏洞,向 JavaScript 语言结构(如对象)中添加任意属性。
(CVE-2020-8116)
- 攻击者可利用 Node.js < 12.18.4 和 < 14.11 执行 HTTP 失步攻击,并向毫无防备的用户传递恶意负载。攻击者可构建负载,以劫持用户会话,使 Cookie 中毒,执行点击劫持以及大量其他攻击,具体取决于底层系统的架构。此攻击可能是处理 HTTP 标头名称中的载波返回符号过程中的缺陷所致。(CVE-2020-8201)
- Node.js 中使用的版本低于 10.22.1、12.18.4 和 14.9.0 的 libuv 中的 realpath 实现未正确确定缓冲区大小,如果解析的路径长于 256 个字节,则可导致缓冲区溢出。(CVE-2020-8252)
- npm CLI 6.14.6 之前版本容易受到通过日志文件造成的信息泄露漏洞的影响。CLI 支持如下 URL://[[: ]@][: ][: ][/]。密码值未编辑,而是被打印到 stdout 以及任何生成的日志文件中。(CVE-2020-15095)
请注意,Nessus 尚未测试此问题,而是只依赖于应用程序自我报告的版本号。
解决方案
更新受影响的程序包。另见
插件详情
严重性: High
ID: 141637
文件名: oraclelinux_ELSA-2020-4272.nasl
版本: 1.6
类型: local
代理: unix
发布时间: 2020/10/21
最近更新时间: 2024/2/14
支持的传感器: Frictionless Assessment Agent, Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: High
基本分数: 7.5
时间分数: 5.9
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2020-8116
CVSS v3
风险因素: High
基本分数: 7.8
时间分数: 7
矢量: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
CVSS 分数来源: CVE-2020-8252
漏洞信息
CPE: cpe:/o:oracle:linux:8, p-cpe:/a:oracle:linux:nodejs, p-cpe:/a:oracle:linux:nodejs-devel, p-cpe:/a:oracle:linux:nodejs-docs, p-cpe:/a:oracle:linux:nodejs-full-i18n, p-cpe:/a:oracle:linux:nodejs-nodemon, p-cpe:/a:oracle:linux:nodejs-packaging, p-cpe:/a:oracle:linux:npm
必需的 KB 项: Host/OracleLinux, Host/RedHat/release, Host/RedHat/rpm-list, Host/local_checks_enabled
可利用: true
易利用性: Exploits are available
补丁发布日期: 2020/10/20
漏洞发布日期: 2020/2/4
参考资料信息
CVE: CVE-2020-15095, CVE-2020-8116, CVE-2020-8201, CVE-2020-8252