检测

Amazon Linux 2023:nodejs20、nodejs20-devel、nodejs20-full-i18n (ALAS2023-2024-594)

high Nessus 插件 ID 194485

语言:

简介

远程 Amazon Linux 2023 主机缺少安全更新。

描述

因此,它受到 ALAS2023-2024-594 公告中提及的多个漏洞影响。

 2024-06-19:已将 CVE-2024-27982 添加到此公告中。

 注意:https://nodejs.org/en/blog/vulnerability/april-2024-security-releases/ (CVE-2024-27982)

 攻击者可通过发送少量内部带有少量 HTTP/2 框架的 HTTP/2 框架数据包,使 Node.js HTTP/2 服务器完全不可用。如果采用 HTTP/2 CONTINUATION 框架的标头被发送到服务器,即使被重置,nghttp2 内存中仍可能留下一些数据;如果 TCP 连接被触发 Http2Session 析构函数的客户端突然关闭并且标头框架仍在处理中(存储在内存中),则可能导致争用情形。(CVE-2024-27983)

 nghttp2 是根据超文本传输协议版本 2,以 C 语言编写的库。版本 1.61.0 之前的 nghttp2 库会不断读取无限数量的 HTTP/2 CONTINUATION 帧,即使为了保持 HPACK 上下文同步以重置流之后也是如此。这会造成解码 HPACK 流时占用过多 CPU。nghttp2 v1.61.0 通过限制接受的每个流的 CONTINUATION 帧数量来缓解此漏洞。
 目前尚无针对此漏洞的变通方案。(CVE-2024-28182)

 Undici 是专为 Node.js 从头编写的 HTTP/1.1 客户端。攻击者可以修改传递给“fetch()”的“integrity”选项,从而允许“fetch()”在请求被篡改的情况下仍可接受有效请求。此漏洞已在 5.28.4 和 6.11.1 版本中修补。(CVE-2024-30261)

Tenable 已直接从测试产品的安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

运行“dnf update nodejs20 --releasever 2023.4.20240429”以更新系统。

另见

https://alas.aws.amazon.com/AL2023/ALAS-2024-594.html

https://alas.aws.amazon.com/faqs.html

https://alas.aws.amazon.com/cve/html/CVE-2024-27982.html

https://alas.aws.amazon.com/cve/html/CVE-2024-27983.html

https://alas.aws.amazon.com/cve/html/CVE-2024-28182.html

https://alas.aws.amazon.com/cve/html/CVE-2024-30261.html

插件详情

严重性: High

ID: 194485

文件名: al2023_ALAS2023-2024-594.nasl

版本: 1.1

类型: local

代理: unix

发布时间: 2024/4/29

最近更新时间: 2024/6/24

支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.0

CVSS v2

风险因素: Medium

基本分数: 6.4

时间分数: 4.7

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N

CVSS 分数来源: CVE-2024-27982

CVSS v3

风险因素: High

基本分数: 8.2

时间分数: 7.1

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

CVSS 分数来源: CVE-2024-27983

漏洞信息

CPE: p-cpe:/a:amazon:linux:v8-11.3-devel, p-cpe:/a:amazon:linux:nodejs20-debugsource, p-cpe:/a:amazon:linux:nodejs20-devel, p-cpe:/a:amazon:linux:nodejs20, p-cpe:/a:amazon:linux:nodejs20-npm, p-cpe:/a:amazon:linux:nodejs20-libs, p-cpe:/a:amazon:linux:nodejs20-debuginfo, p-cpe:/a:amazon:linux:nodejs20-full-i18n, p-cpe:/a:amazon:linux:nodejs20-libs-debuginfo, p-cpe:/a:amazon:linux:nodejs20-docs, cpe:/o:amazon:linux:2023

必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2024/4/25

漏洞发布日期: 2024/4/3

参考资料信息

CVE: CVE-2024-27982, CVE-2024-27983, CVE-2024-28182, CVE-2024-30261