公告ID(KYSA-202310-1007)
公告ID:KYSA-202310-1007
公告摘要:nodejs安全漏洞
等級(jí):Critical
發(fā)布日期:2023-10-10
詳細(xì)介紹
1.修復(fù)的CVE
·CVE-2022-32214
描述:IBM Answer Retrieval for Watson Discovery On Prem是美國(guó)IBM公司的一種基于微服務(wù)的云原生解決方案。IBM Answer Retrieval for Watson Discovery On Prem 存在環(huán)境問題漏洞���,該漏洞源于HTTP模塊中的llhttp解析器沒有嚴(yán)格使用CRLF序列來分隔HTTP請(qǐng)求�。遠(yuǎn)程攻擊者可以向服務(wù)器發(fā)送特制的HTTP請(qǐng)求并偷換任意的HTTP頭�。該漏洞允許遠(yuǎn)程攻擊者進(jìn)行HTTP請(qǐng)求偷換攻擊��。
·CVE-2023-23918
描述:Node.js<19.6.1���、<18.14.1�、<16.19.1和<14.21.3中存在權(quán)限提升漏洞,可以繞過實(shí)驗(yàn)權(quán)限(https://nodejs.org/api/permissions.html)特性���,并使用process.mainModule.require()訪問未授權(quán)的模塊���。這只影響使用--experimental策略啟用了實(shí)驗(yàn)權(quán)限選項(xiàng)的用戶。
·CVE-2023-23920
描述:Node.js中存在不受信任的搜索路徑漏洞���。<19.6.1���、<18.14.1、<16.19.1和<14.21.3�,攻擊者可以在使用提升的權(quán)限運(yùn)行時(shí)搜索并可能加載ICU數(shù)據(jù)。
·CVE-2023-30581
描述:process.mainModule.proto.require()中使用proto可以繞過策略機(jī)制�,需要policy.json定義之外的模塊。參考文獻(xiàn):https://nodejs.org/en/blog/vulnerability/june-2023-security-releases
·CVE-2023-30590
描述:crypto.createDiffieHellman()返回的generateKeys()API函數(shù)只生成丟失(或過期)的密鑰����,也就是說,如果還沒有設(shè)置���,它只生成私鑰�����。參考文獻(xiàn):https://nodejs.org/en/blog/vulnerability/june-2023-security-releases
·CVE-2023-32002
描述:`Module的使用_load()`可以繞過策略機(jī)制���,并要求給定模塊使用policy.json定義之外的模塊��。此漏洞影響所有活動(dòng)發(fā)布行中使用實(shí)驗(yàn)策略機(jī)制的所有用戶:16.x���、18.x和20.x。請(qǐng)注意���,在發(fā)布此CVE時(shí)����,該策略是Node.js的實(shí)驗(yàn)功能����。
·CVE-2023-32006
描述:使用`module.constructor.createRequire()`可以繞過策略機(jī)制,并為給定模塊要求policy.json定義之外的模塊����。此漏洞影響所有活動(dòng)發(fā)布行中使用實(shí)驗(yàn)策略機(jī)制的所有用戶:16.x、18.x和20.x。請(qǐng)注意���,在發(fā)布此CVE時(shí),該策略是Node.js的實(shí)驗(yàn)功能
·CVE-2023-35256
描述:Node v18.7.0中http模塊中的llhttp解析器無法正確處理未以CLRF終止的標(biāo)頭字段����。這可能導(dǎo)致HTTP請(qǐng)求走私。
2.受影響的軟件包
·銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10 HPC
·aarch64架構(gòu):
nodejs��、nodejs-devel�����、nodejs-docs��、nodejs-full-i18n���、nodejs-libs�����、npm����、v8-devel
·x86_64架構(gòu):
nodejs�、nodejs-devel���、nodejs-docs、nodejs-full-i18n�、nodejs-libs、npm��、v8-devel
3.軟件包修復(fù)版本
·銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10 HPC (aarch64��、x86_64)
nodejs-12.22.11-5.p01.ky10h或以上版本
nodejs-devel-12.22.11-5.p01.ky10h或以上版本
nodejs-docs-12.22.11-5.p01.ky10h或以上版本
nodejs-full-i18n-12.22.11-5.p01.ky10h或以上版本
nodejs-libs-12.22.11-5.p01.ky10h或以上版本
npm-6.14.16-1.12.22.11.5.p01.ky10h或以上版本
v8-devel-7.8.279.23-1.12.22.11.5.p01.ky10h或以上版本
4.修復(fù)方法
方法一:配置源進(jìn)行升級(jí)安裝
1.打開軟件包源配置文件�����,根據(jù)倉(cāng)庫(kù)地址進(jìn)行修改�����。
倉(cāng)庫(kù)源地址:
銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10 HPC
aarch64:https://update.cs2c.com.cn/NS/V10/HPC/os/adv/lic/updates/aarch64/
x86_64:https://update.cs2c.com.cn/NS/V10/HPC/os/adv/lic/updates/x86_64/
2.配置完成后執(zhí)行更新命令進(jìn)行升級(jí)�,命令如下:
yum update Packagename
方法二:下載安裝包進(jìn)行升級(jí)安裝
通過軟件包地址下載軟件包,使用軟件包升級(jí)命令根據(jù)受影響的軟件包
列表進(jìn)行升級(jí)安裝, 命令如下:
yum install Packagename
3.升級(jí)完成后是否需要重啟服務(wù)或操作系統(tǒng):
CVE-2022-32214:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�����。
CVE-2023-23918:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效��。
CVE-2023-23920:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2023-30581:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效���。
CVE-2023-30590:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�����。
CVE-2023-32002:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效。
CVE-2023-32006:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效��。
CVE-2023-35256:無需重啟操作系統(tǒng)與服務(wù)即可使漏洞修復(fù)生效�。
5.軟件包下載地址
·銀河麒麟高級(jí)服務(wù)器操作系統(tǒng) V10 HPC
nodejs(aarch64)軟件包下載地址:
https://update.cs2c.com.cn/NS/V10/HPC/os/adv/lic/updates/aarch64/Packages/nodejs-12.22.11-5.p01.ky10h.aarch64.rpm
https://update.cs2c.com.cn/NS/V10/HPC/os/adv/lic/updates/aarch64/Packages/nodejs-devel-12.22.11-5.p01.ky10h.aarch64.rpm
https://update.cs2c.com.cn/NS/V10/HPC/os/adv/lic/updates/aarch64/Packages/nodejs-docs-12.22.11-5.p01.ky10h.noarch.rpm
https://update.cs2c.com.cn/NS/V10/HPC/os/adv/lic/updates/aarch64/Packages/nodejs-full-i18n-12.22.11-5.p01.ky10h.aarch64.rpm
https://update.cs2c.com.cn/NS/V10/HPC/os/adv/lic/updates/aarch64/Packages/nodejs-libs-12.22.11-5.p01.ky10h.aarch64.rpm
https://update.cs2c.com.cn/NS/V10/HPC/os/adv/lic/updates/aarch64/Packages/npm-6.14.16-1.12.22.11.5.p01.ky10h.aarch64.rpm
https://update.cs2c.com.cn/NS/V10/HPC/os/adv/lic/updates/aarch64/Packages/v8-devel-7.8.279.23-1.12.22.11.5.p01.ky10h.aarch64.rpm
nodejs(x86_64)軟件包下載地址:
https://update.cs2c.com.cn/NS/V10/HPC/os/adv/lic/updates/x86_64/Packages/nodejs-12.22.11-5.p01.ky10h.x86_64.rpm
https://update.cs2c.com.cn/NS/V10/HPC/os/adv/lic/updates/x86_64/Packages/nodejs-devel-12.22.11-5.p01.ky10h.x86_64.rpm
https://update.cs2c.com.cn/NS/V10/HPC/os/adv/lic/updates/x86_64/Packages/nodejs-docs-12.22.11-5.p01.ky10h.noarch.rpm
https://update.cs2c.com.cn/NS/V10/HPC/os/adv/lic/updates/x86_64/Packages/nodejs-full-i18n-12.22.11-5.p01.ky10h.x86_64.rpm
https://update.cs2c.com.cn/NS/V10/HPC/os/adv/lic/updates/x86_64/Packages/nodejs-libs-12.22.11-5.p01.ky10h.x86_64.rpm
https://update.cs2c.com.cn/NS/V10/HPC/os/adv/lic/updates/x86_64/Packages/npm-6.14.16-1.12.22.11.5.p01.ky10h.x86_64.rpm
https://update.cs2c.com.cn/NS/V10/HPC/os/adv/lic/updates/x86_64/Packages/v8-devel-7.8.279.23-1.12.22.11.5.p01.ky10h.x86_64.rpm
注:其他相關(guān)依賴包請(qǐng)到相同目錄下載
6.修復(fù)驗(yàn)證
使用軟件包查詢命令,查看相關(guān)軟件包版本是否與修復(fù)版本一致���,如果版本一致��,則說明修復(fù)成功�。
sudo rpm -qa | grep Packagename
