检测

Amazon Linux 2023:nodejs、nodejs-devel、nodejs-full-i18n (ALAS2023-2023-304)

critical Nessus 插件 ID 180113

语言:

简介

远程 Amazon Linux 2023 主机缺少安全更新。

描述

因此,它受到 ALAS2023-2023-304 公告中提及的多个漏洞影响。

 - 使用“Module._load()”可绕过策略机制,并且需要给定模块的 policy.json 定义之外的模块。此漏洞会影响在所有以下可用的稳定版本系列中使用实验性策略机制的所有用户:16.x、18.x 和 20.x。请注意,发布此 CVE 时,该策略是 Node.js 的一项实验性功能。(CVE-2023-32002)

 - 使用“module.constructor.createRequire()”可绕过策略机制,并且需要给定模块的 policy.json 定义之外的模块。此漏洞会影响在所有以下可用的稳定版本系列中使用实验性策略机制的所有用户:16.x、18.x 和 20.x。请注意,发布此 CVE 时,该策略是 Node.js 的一项实验性功能。(CVE-2023-32006)

 - https://nodejs.org/en/blog/vulnerability/august-2023-security-releasesSecurity 可用版本 v16.x、v18.x 和 v20.x Node.js 发行版现已推出针对以下问题的更新。
 可以通过 Module._load 绕过权限策略(高)(CVE-2023-32002) 使用“Module._load()”可绕过策略机制,并且需要给定模块的 policy.json 定义之外的模块。
 请注意,发布此 CVE 时,该策略机制是 Node.js 的一项实验性功能。影响:此漏洞会影响在所有以下可用的稳定版本系列中使用实验性策略机制的所有用户:16.x、18.x 和 20.x。感谢 mattaustin 报告此漏洞,同时感谢 Rafael Gonzaga 和 Bradley Farias 修复此漏洞。通过指定缓冲区中的路径遍历顺序绕过权限模型(高)(CVE-2023-32004) 已在 Node.js 版本 20 中发现一个漏洞,尤其是在实验性权限模型中。此缺陷与文件系统 API 中的缓冲区处理不当有关,导致验证文件权限时绕过遍历路径。请注意,发布此 CVE 时,该权限模块是 Node.js 的一项实验性功能。
 影响:此漏洞会影响使用 Node.js 20 中的实验性权限模型的所有用户。
 感谢 Axel Chong 报告此漏洞,同时感谢 Rafael Gonzaga 修复此漏洞。
 process.binding() 可通过路径遍历绕过权限模型(高危)(CVE-2023-32558) 使用弃用的 API process.binding() 可通过路径遍历绕过权限模型。请注意,发布此 CVE 时,该权限模块是 Node.js 的一项实验性功能。
 影响:此漏洞会影响使用 Node.js 20 中的实验性权限模型的所有用户。
 感谢 Rafael Gonzaga 报告并修复此漏洞。权限策略可以使用 module.constructor.createRequire() 来冒充其他模块(中危)(CVE-2023-32006) 使用“module.constructor.createRequire()”可绕过策略机制,并且需要给定模块的 policy.json 定义之外的模块。请注意,发布此 CVE 时,该策略机制是 Node.js 的一项实验性功能。影响:此漏洞会影响在所有以下可用的稳定版本系列中使用实验性策略机制的所有用户:16.x、18.x 和 20.x。感谢 Axel Chong 报告此漏洞,同时感谢 Rafael Gonzaga 和 Bradley Farias 修复此漏洞。
 通过 process.binding 可绕过权限策略(中危)(CVE-2023-32559) 使用已弃用的 API process.binding() 可通过要求内部模块绕过策略机制,并最终利用 process.binding('spawn_sync') 运行 policy.json 文件中定义的限制之外的任意代码。请注意,发布此 CVE 时,该策略是 Node.js 的一项实验性功能。影响 此漏洞会影响在所有以下可用的稳定版本系列中使用实验性策略机制的所有用户:16.x、18.x 和 20.x。感谢 LeoDog896 报告此漏洞,并感谢 Tobias Nieen 修复该漏洞。fs.statfs 可以从受权限模型限制的文件中检索统计信息(低危)(CVE-2023-32005) 已在 Node.js 版本 20 中发现一个漏洞,当一起使用 --allow-fs-read 标志与非 * 参数时,该漏洞会影响实验性权限模型的用户。出现此缺陷的原因是模型权限不充分,无法通过 fs.statfs API 限制文件统计数据。如此一来,恶意行为者可以从他们没有显式读取访问权限的文件中检索统计信息。请注意,发布此 CVE 时,该权限模块是 Node.js 的一项实验性功能。影响:此漏洞会影响使用 Node.js 20 中的实验性权限模型的所有用户。感谢 Rafael Gonzaga 报告并修复此漏洞。 fs.mkdtemp() 和 fs.mkdtempSync() 缺少 getValidatedPath() 检查(低危)(CVE-2023-32003) fs.mkdtemp() 和 fs.mkdtempSync() 可被用来通过路径遍历攻击绕过权限模型检查。此缺陷源于 fs.mkdtemp() API 中缺少检查,其影响是恶意执行者可创建任意目录。请注意,发布此 CVE 时,该权限模块是 Node.js 的一项实验性功能。影响:此漏洞会影响使用 Node.js 20 中的实验性权限模型的所有用户。感谢 Axel Chong 报告此漏洞,同时感谢 Rafael Gonzaga 修复此漏洞。下载和版本详细信息 Node.js v16.20.2 (LTS) Node.js v18.17.1 (LTS) Node.js v20.5.1(当前)(2023 年 8 月 8 日更新)安全版本目标 8 月 9 日 Node.js 安全版本将于 2023 年 8 月 9(星期三)或之后不久推出。汇总 Node.js 项目将于 2023 年 8 月 8 日星期二或之后不久发布 16.x、18.x 和 20.x 版本的新版本,以便解决:3 个高危问题。
 2 个中危问题。 2 个低危问题。OpenSSL 安全更新 此安全版本包括以下 OpenSSL 安全更新 OpenSSL 安全公告(7 月 14 日)。OpenSSL 安全公告(7 月 19 日)。OpenSSL 安全公告(7 月 31 日)。影响 Node.js 的 20.x 版本容易受到 3 个高危问题、2 个中危问题和 2 个低危问题的影响。Node.js 的 18.x 版本容易受到 1 个高危问题和 2 个中危问题的影响。Node.js 的 16.x 版本容易受到 1 个高危问题和 2 个中危问题的影响。(CVE-2023-32559)

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

运行“dnf update nodejs --releasever 2023.1.20230823”以更新系统。

另见

https://alas.aws.amazon.com/AL2023/ALAS-2023-304.html

https://alas.aws.amazon.com/cve/html/CVE-2023-32002.html

https://alas.aws.amazon.com/cve/html/CVE-2023-32006.html

https://alas.aws.amazon.com/cve/html/CVE-2023-32559.html

https://alas.aws.amazon.com/faqs.html

插件详情

严重性: Critical

ID: 180113

文件名: al2023_ALAS2023-2023-304.nasl

版本: 1.4

类型: local

代理: unix

发布时间: 2023/8/24

最近更新时间: 2023/9/26

支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.8

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2023-32002

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.8

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:amazon:linux:nodejs, p-cpe:/a:amazon:linux:nodejs-debuginfo, p-cpe:/a:amazon:linux:nodejs-debugsource, p-cpe:/a:amazon:linux:nodejs-devel, p-cpe:/a:amazon:linux:nodejs-docs, p-cpe:/a:amazon:linux:nodejs-full-i18n, p-cpe:/a:amazon:linux:nodejs-libs, p-cpe:/a:amazon:linux:nodejs-libs-debuginfo, p-cpe:/a:amazon:linux:npm, p-cpe:/a:amazon:linux:v8-devel, cpe:/o:amazon:linux:2023

必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2023/8/17

漏洞发布日期: 2023/8/10

参考资料信息

CVE: CVE-2023-32002, CVE-2023-32006, CVE-2023-32559