Debian DLA-3260-1：node-xmldom - LTS 安全更新

critical Nessus 插件 ID 169694

语言：

简介

远程 Debian 主机上缺少一个或多个与安全性相关的更新。

描述

远程 Debian 10 主机上安装的程序包受到 dla-3260 公告中提及的多个漏洞影响。

- xmldom 是完全基于 JavaScript W3C 标准（XML DOM Level 2 Core）的 DOMParser 和 XMLSerializer 模块。
xmldom 0.4.0 及更早版本在重复解析和序列化恶意构建的文档时未正确保留系统标识符、FPI 或命名空间。这可能会在某些下游应用程序的 XML 处理期间导致意外的语法更改。此缺陷已在版本 0.5.0 中修复。作为变通方案，下游应用程序可验证输入并拒绝恶意构建的文档。
(CVE-2021-21366)

- Passport-SAML 是 Node.js 认证库 Passport 的 SAML 2.0 认证提供程序。远程攻击者可能在使用 passport-saml 的网站上绕过 SAML 认证。如要攻击成功，攻击者需要拥有任意 IDP 签名的 XML 元素。根据所使用的 IDP 不同，如果可以触发生成已签名的消息，也可能在完全未经身份验证的情况下执行攻击（例如，无法访问有效用户）。用户应升级到 passport-saml 3.2.2 或更高版本。4.0.0-beta.5 之前的 node-saml 测试版中也存在此问题。如果您无法升级，可以禁用 SAML 认证，作为变通方案。(CVE-2022-39299)

- xmldom 是完全基于 JavaScript W3C 标准（XML DOM Level 2 Core）的“DOMParser”和“XMLSerializer”模块。xmldom 包含多个顶级元素，所以会解析格式错误的 XML，并将所有根节点添加到“Document”的“childNodes”集合，而不会报告或抛出任何错误。这破坏了树中只有一个根节点的假设，从而会导致发出 CVE-2022-39299（因为这是从属对象的潜在问题）。更新为 @xmldom/xmldom@~0.7.7、@xmldom/xmldom@~0.8.4 (dist-tag latest) 或 @xmldom/xmldom@>=0.9.0-beta.4 (dist-tag next)。作为变通方案，请根据您的使用案例采用下列方法之一：不搜索整个 DOM 中的元素，而只在“documentElement”中搜索，或拒绝包含 1 个以上“childNode”的文档。(CVE-2022-39353)

请注意，Nessus 尚未测试这些问题，而是只依靠应用程序自我报告的版本号来判断。