Node.js是一個軟件開發(fā)平臺，用于使用JavaScript編程語言構(gòu)建快速，可擴(kuò)展的網(wǎng)絡(luò)應(yīng)用日前，紅帽發(fā)布安全更新，修復(fù)紅帽NodeJS軟件開發(fā)平臺發(fā)現(xiàn)的一些重要漏洞

漏洞詳細(xì)信息

1.CVE—2021—22930 CVSS評分:9.8嚴(yán)重程度:很重要。

在Node.js中發(fā)現(xiàn)了一個漏洞，該漏洞容易受到發(fā)布后使用攻擊此漏洞允許攻擊者利用內(nèi)存損壞，導(dǎo)致進(jìn)程行為發(fā)生變化該漏洞的最大威脅是機(jī)密性和完整性

2.CVE—2021—32803 CVSS得分為:8.3，嚴(yán)重程度為:

Npm包tar由于符號鏈接保護(hù)不足，存在任意文件創(chuàng)建/覆蓋漏洞node—tar的目的是確保不會提取其位置將被符號鏈接修改的文件這部分是通過確保提取的目錄不是符號鏈接來實現(xiàn)的此外，為了防止不必要的stat調(diào)用來確定給定的路徑是否是目錄，在創(chuàng)建目錄時會緩存該路徑

3.CVE—2021—32804 CVSS得分為:8.1，嚴(yán)重程度為:

由于絕對路徑清洗不足，npm包tar存在任意文件創(chuàng)建/覆蓋漏洞Node—tar旨在通過在保留路徑標(biāo)志未設(shè)置為真時將絕對路徑轉(zhuǎn)換為相對路徑來防止提取絕對文件路徑這是通過從tar文件中包含的任何絕對文件路徑中剝離絕對路徑根來實現(xiàn)的

4.CVE—2021—22940 CVSS得分為:7.5，嚴(yán)重程度為:

在Node.js中發(fā)現(xiàn)了一個漏洞，該漏洞容易受到發(fā)布后使用攻擊此漏洞允許攻擊者使用內(nèi)存損壞來更改進(jìn)程行為該漏洞的最大威脅是機(jī)密性和完整性

5.CVE—2021—23343 CVSS得分:5.3嚴(yán)重程度:

nodejs—path—parse中發(fā)現(xiàn)一個漏洞所有版本的數(shù)據(jù)包路徑解析都容易受到通過splitDeviceRe，splitTailRe和splitPathRe正則表達(dá)式進(jìn)行的正則表達(dá)式拒絕服務(wù)攻擊ReDoS顯示多項式最壞情況時間復(fù)雜度

受影響的產(chǎn)品和版本。

面向x86_64 8 x86_64的紅帽企業(yè)Linux

面向x86_64的紅帽企業(yè)Linux擴(kuò)展更新支持8.4 x86_64

紅帽企業(yè)Linux服務(wù)器— AUS 8.4 x86_64

IBM z系統(tǒng)8 s390x的紅帽企業(yè)Linux

面向IBM z系統(tǒng)的紅帽企業(yè)Linux擴(kuò)展更新支持8.4 s390x

紅帽企業(yè)版Linux for Power，小端8 ppc64le

紅帽企業(yè)版Linux，支持小端字節(jié)序擴(kuò)展更新支持8.4 ppc64le

紅帽企業(yè)Linux服務(wù)器— TUS 8.4 x86_64

ARM 64 8 aarch64的紅帽企業(yè)版Linux

面向ARM 64的紅帽企業(yè)Linux擴(kuò)展更新支持8.4 aarch64

紅帽企業(yè)Linux服務(wù)器—針對SAP解決方案的更新服務(wù)8.4 ppc64le

紅帽企業(yè)Linux服務(wù)器—面向SAP解決方案8.4 x86_64的更新服務(wù)

解決辦法

nodejs:14模塊的更新現(xiàn)在可用于紅帽企業(yè)版Linux 8。

有關(guān)如何應(yīng)用此更新的詳細(xì)信息，請參見: