公告ID(KYSA-202211-1013)
公告ID:KYSA-202211-1013
公告摘要:nodejs安全漏洞
等级:Important
发布日期:2022-11-01
详细介绍
1.修复的CVE
·CVE-2020-15366
描述:Ajv 6.12.2版本中的ajv.validate()函数中存在输入验证错误漏洞。攻击者可利用该漏洞执行代码或造成拒绝服务。
·CVE-2021-22959
描述:Nodejs Core是OpenJS(Openjs)基金会的一个编译到Nodejs中的核心模块。该模块为Nodejs提供底层的TCP,HTTP,DNS,文件系统,子进程等功能支持。Nodejs Core 存在环境问题漏洞,该漏洞源于攻击者可以通过 HTTP 请求走私绕过 Node Core 的访问限制,以读取或更改数据。
·CVE-2021-22960
描述:nodejs是是一个基于ChromeV8引擎的JavaScript运行环境通过对Chromev8引擎进行了封装以及使用事件驱动和非阻塞IO的应用让Javascript开发高性能的后台应用成为了可能。Nodejs 存在环境问题漏洞,攻击者可以通过HTTP请求走私绕过Node Core的访问限制,以读取或更改数据。
·CVE-2021-27290
描述:nlf ssri是 (nlf)开源的一个应用软件。提供Standard Subresource Integrity(标准子资源完整性)的缩写,是一个Node.js实用程序,用于解析,操作,序列化,生成和验证Subresource Integrity哈希值。ssri 5.2.2-8.0.0 存在安全漏洞,该漏洞源于使用正则表达式处理SRIs,该正则表达式容易被拒绝服务。恶意的SRIs可能需要非常长的时间来处理,从而导致拒绝服务。
·CVE-2021-3450
描述:在openssl中发现了一个缺陷。未启用启用对证书链中存在的证书进行附加安全检查的标志,从而绕过了验证链中证书是否有效的确认步骤CA证书。此漏洞的最大威胁是数据的机密性和完整性。
·CVE-2021-39134
描述:NPM arborist是美国npm(NPM)公司的一个软件包。用于可视化存储为平面列表的分层数据。arborist 存在后置链接漏洞,该漏洞允许攻击者进行任意文件创建、任意文件覆盖和任意代码执行。
·CVE-2021-39135
描述:NPM arborist是美国npm(NPM)公司的一个软件包。用于可视化存储为平面列表的分层数据。NPM arborist 存在后置链接漏洞,该漏洞源于网络系统或产品的代码开发过程中存在设计或实现不当的问题。
·CVE-2021-44531
描述:nodejs是是一个基于ChromeV8引擎的JavaScript运行环境通过对Chromev8引擎进行了封装以及使用事件驱动和非阻塞IO的应用让Javascript开发高性能的后台应用成为了可能。nodejs 中存在信任管理问题漏洞,目前尚无此漏洞的相关信息,请随时关注CNNVD或厂商公告。
·CVE-2021-44532
描述:nodejs是是一个基于ChromeV8引擎的JavaScript运行环境通过对Chromev8引擎进行了封装以及使用事件驱动和非阻塞IO的应用让Javascript开发高性能的后台应用成为了可能。nodejs 中存在信任管理问题漏洞,目前尚无此漏洞的相关信息,请随时关注CNNVD或厂商公告。
·CVE-2021-44533
描述:nodejs是是一个基于ChromeV8引擎的JavaScript运行环境通过对Chromev8引擎进行了封装以及使用事件驱动和非阻塞IO的应用让Javascript开发高性能的后台应用成为了可能。nodejs 中存在信任管理问题漏洞,目前尚无此漏洞的相关信息,请随时关注CNNVD或厂商公告。
·CVE-2022-21824
描述:nodejs是是一个基于ChromeV8引擎的JavaScript运行环境通过对Chromev8引擎进行了封装以及使用事件驱动和非阻塞IO的应用让Javascript开发高性能的后台应用成为了可能。nodejs 中存在代码注入漏洞,目前尚无此漏洞的相关信息,请随时关注CNNVD或厂商公告。
2.受影响的软件包
·银河麒麟高级服务器操作系统 V10 SP1
·loongarch64架构:
nodejs、nodejs-devel、nodejs-docs、nodejs-full-i18n、nodejs-libs、npm、v8-devel
·银河麒麟高级服务器操作系统 V10 SP3
·loongarch64架构:
nodejs、nodejs-devel、nodejs-docs、nodejs-full-i18n、nodejs-libs、npm、v8-devel
3.软件包修复版本
·银河麒麟高级服务器操作系统 V10 SP1 (loongarch64)
nodejs-12.22.11-1.p01.a.ky10或以上版本
nodejs-devel-12.22.11-1.p01.a.ky10或以上版本
nodejs-docs-12.22.11-1.p01.a.ky10或以上版本
nodejs-full-i18n-12.22.11-1.p01.a.ky10或以上版本
nodejs-libs-12.22.11-1.p01.a.ky10或以上版本
npm-6.14.16-1.12.22.11.1.p01.a.ky10或以上版本
v8-devel-7.8.279.23-1.12.22.11.1.p01.a.ky10或以上版本
·银河麒麟高级服务器操作系统 V10 SP3 (loongarch64)
nodejs-12.22.11-1.p01.a.ky10或以上版本
nodejs-devel-12.22.11-1.p01.a.ky10或以上版本
nodejs-docs-12.22.11-1.p01.a.ky10或以上版本
nodejs-full-i18n-12.22.11-1.p01.a.ky10或以上版本
nodejs-libs-12.22.11-1.p01.a.ky10或以上版本
npm-6.14.16-1.12.22.11.1.p01.a.ky10或以上版本
v8-devel-7.8.279.23-1.12.22.11.1.p01.a.ky10或以上版本
4.修复方法
方法一:配置源进行升级安装
1.打开软件包源配置文件,根据仓库地址进行修改。
仓库源地址:
银河麒麟高级服务器操作系统 V10 SP1
loongarch64:https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/loongarch64/
银河麒麟高级服务器操作系统 V10 SP3
loongarch64:https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/base/loongarch64/
2.配置完成后执行更新命令进行升级,命令如下:
yum update Packagename
方法二:下载安装包进行升级安装
通过软件包地址下载软件包,使用软件包升级命令根据受影响的软件包
列表进行升级安装, 命令如下:
yum install Packagename
3.升级完成后是否需要重启服务或操作系统:
CVE-2020-15366:需要重启 nodejs 以使漏洞修复生效。
CVE-2021-22959:需要重启 nodejs 以使漏洞修复生效。
CVE-2021-22960:需要重启 nodejs 以使漏洞修复生效。
CVE-2021-27290:需要重启 nodejs 以使漏洞修复生效。
CVE-2021-3450:需要重启 nodejs 以使漏洞修复生效。
CVE-2021-39134:需要重启 nodejs 以使漏洞修复生效。
CVE-2021-39135:需要重启 nodejs 以使漏洞修复生效。
CVE-2021-44531:需要重启 nodejs 以使漏洞修复生效。
CVE-2021-44532:需要重启 nodejs 以使漏洞修复生效。
CVE-2021-44533:需要重启 nodejs 以使漏洞修复生效。
CVE-2022-21824:需要重启 nodejs 以使漏洞修复生效。
5.软件包下载地址
·银河麒麟高级服务器操作系统 V10 SP1
nodejs(loongarch64)软件包下载地址:
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/loongarch64/Packages/nodejs-12.22.11-1.p01.a.ky10.loongarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/loongarch64/Packages/nodejs-devel-12.22.11-1.p01.a.ky10.loongarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/loongarch64/Packages/nodejs-docs-12.22.11-1.p01.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/loongarch64/Packages/nodejs-full-i18n-12.22.11-1.p01.a.ky10.loongarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/loongarch64/Packages/nodejs-libs-12.22.11-1.p01.a.ky10.loongarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/loongarch64/Packages/npm-6.14.16-1.12.22.11.1.p01.a.ky10.loongarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP1.1/os/adv/lic/updates/loongarch64/Packages/v8-devel-7.8.279.23-1.12.22.11.1.p01.a.ky10.loongarch64.rpm
·银河麒麟高级服务器操作系统 V10 SP3
nodejs(loongarch64)软件包下载地址:
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/base/loongarch64/Packages/nodejs-12.22.11-1.p01.a.ky10.loongarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/base/loongarch64/Packages/nodejs-devel-12.22.11-1.p01.a.ky10.loongarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/base/loongarch64/Packages/nodejs-docs-12.22.11-1.p01.a.ky10.noarch.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/base/loongarch64/Packages/nodejs-full-i18n-12.22.11-1.p01.a.ky10.loongarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/base/loongarch64/Packages/nodejs-libs-12.22.11-1.p01.a.ky10.loongarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/base/loongarch64/Packages/npm-6.14.16-1.12.22.11.1.p01.a.ky10.loongarch64.rpm
https://update.cs2c.com.cn/NS/V10/V10SP3/os/adv/lic/base/loongarch64/Packages/v8-devel-7.8.279.23-1.12.22.11.1.p01.a.ky10.loongarch64.rpm
注:其他相关依赖包请到相同目录下载
6.修复验证
使用软件包查询命令,查看相关软件包版本是否与修复版本一致,如果版本一致,则说明修复成功。
sudo rpm -qa | grep Packagename