Oracle Linux 8:nodejs:10 (ELSA-2021-0548)

high Nessus 插件 ID 146638
全新!漏洞优先级评级 (VPR)

Tenable 测算每个漏洞的动态 VPR。VPR 将漏洞信息与威胁情报和机器学习算法相结合,预测哪些漏洞最有可能在攻击中被利用。了解详细信息: VPR 的定义及其与 CVSS 的区别。

VPR 得分: 5.9

简介

远程 Oracle Linux 主机缺少一个或多个安全更新。

描述

远程 Oracle Linux 8 主机上安装的程序包受到 ELSA-2021-0548 公告中提及的多个漏洞的影响。

- dot-prop npm 数据包 4.2.1 之前版本以及 5.1.1 之前的 5.x 版本中存在原型污染漏洞,攻击者可利用此漏洞,向 JavaScript 语言结构(如对象)中添加任意属性。
(CVE-2020-8116)

- Node.js 中使用的版本低于 10.22.1、12.18.4 和 14.9.0 的 libuv 中的 realpath 实现未正确确定缓冲区大小,如果解析的路径长于 256 个字节,则可导致缓冲区溢出。(CVE-2020-8252)

- npm CLI 6.14.6 之前版本容易受到通过日志文件造成的信息泄露漏洞的影响。CLI 支持如下 URL://[[: ]@][: ][: ][/]. 密码值未编辑,而是被打印到 stdout 以及任何生成的日志文件中。(CVE-2020-15095)

- yargs-parser 可能遭到诱骗,使用 a __proto__ payload 添加或修改 Object.prototype 属性。(CVE-2020-7608)

- 这会影响 1.0.1 之前的 npm-user-validate 程序包。用于验证用户电子邮件的 regex 在处理以 @ 字符开头的长输入字符串时花费的时间呈指数增长。(CVE-2020-7754)

- 这会影响 1.3.6 之前的 ini 程序包。如果攻击者向应用程序提交恶意 INI 文件,该应用程序使用 ini.parse 进行解析,则恶意文件将污染该应用程序上的原型。此问题可根据环境被进一步利用。 (CVE-2020-7788)

- 10.23.1、12.20.1、14.15.4、15.5.1 之前的 Node.js 版本容易受到其 TLS 实现中的释放后使用错误的影响。写入启用 TLS 的套接字时,node: : StreamBase: : Write 调用 node: : TLSWrap: : DoWrite,并将新分配的 WriteWrap 对象作为第一个参数。如果 DoWrite 方法未返回错误,则此对象会作为 StreamWriteResult 结构的一部分传回调用程序。此漏洞可被利用来损坏内存,从而导致拒绝服务或可能的其他利用情况。(CVE-2020-8265)

- 10.23.1、12.20.1、14.15.4、15.5.1 之前的 Node.js 版本允许一个 HTTP 请求中存在两个标头字段副本(例如,两个传输编码标头字段)。在此情况下,Node.js 会识别第一个标头字段,忽略第二个标头字段。这可导致 HTTP 请求走私。(CVE-2020-8287)

- 这会影响 3.2.2、4.0.1 及 5.0.5 之前的 y18n 程序包。由 PoC 提供的 po6ix:const y18n = require('y18n')();
y18n.setLocale('__proto__'); y18n.updateLocale({polluted: true}); console.log(polluted); // true (CVE-2020-7774)

- 在 Ajv(即另一个 JSON 方案验证器)的 ajv.validate() 中发现一个问题 6.12.2。系统可提供精心构建的 JSON 方案,该方案允许通过原型污染而执行其他代码。(虽然不推荐使用不受信任的方案,但不受信任方案的最坏情况应该是拒绝服务,而不是代码执行。)(CVE-2020-15366)

请注意,Nessus 尚未测试此问题,而是只依赖于应用程序自我报告的版本号。

解决方案

更新受影响的程序包。

另见

https://linux.oracle.com/errata/ELSA-2021-0548.html

插件详情

严重性: High

ID: 146638

文件名: oraclelinux_ELSA-2021-0548.nasl

版本: 1.3

类型: local

代理: unix

发布时间: 2021/2/20

最近更新时间: 2021/2/25

依存关系: ssh_get_info.nasl

风险信息

风险因素: High

VPR 得分: 5.9

CVSS 得分来源: CVE-2020-8116

CVSS v2.0

基本分数: 7.5

时间分数: 5.5

矢量: AV:N/AC:L/Au:N/C:P/I:P/A:P

时间矢量: E:U/RL:OF/RC:C

CVSS v3.0

基本分数: 7.3

时间分数: 6.4

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

时间矢量: E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/o:oracle:linux:8, p-cpe:/a:oracle:linux:nodejs, p-cpe:/a:oracle:linux:nodejs-devel, p-cpe:/a:oracle:linux:nodejs-docs, p-cpe:/a:oracle:linux:nodejs-full-i18n, p-cpe:/a:oracle:linux:nodejs-nodemon, p-cpe:/a:oracle:linux:nodejs-packaging, p-cpe:/a:oracle:linux:npm

必需的 KB 项: Host/OracleLinux, Host/RedHat/release, Host/RedHat/rpm-list, Host/local_checks_enabled

易利用性: No known exploits are available

补丁发布日期: 2021/2/20

漏洞发布日期: 2020/2/4

参考资料信息

CVE: CVE-2020-7608, CVE-2020-7754, CVE-2020-7774, CVE-2020-7788, CVE-2020-8116, CVE-2020-8252, CVE-2020-8265, CVE-2020-8287, CVE-2020-15095, CVE-2020-15366