Node.js是一個軟件開發(fā)平臺，用于使用JavaScript編程語言構建快速，可擴展的網絡應用日前，紅帽發(fā)布安全更新，修復紅帽NodeJS軟件開發(fā)平臺發(fā)現(xiàn)的一些重要漏洞

漏洞詳細信息

1.CVE—2021—22930 CVSS評分:9.8嚴重程度:很重要。

在Node.js中發(fā)現(xiàn)了一個漏洞，該漏洞容易受到發(fā)布后使用攻擊此漏洞允許攻擊者利用內存損壞，導致進程行為發(fā)生變化該漏洞的最大威脅是機密性和完整性

2.CVE—2021—32803 CVSS得分為:8.3，嚴重程度為:

Npm包tar由于符號鏈接保護不足，存在任意文件創(chuàng)建/覆蓋漏洞node—tar的目的是確保不會提取其位置將被符號鏈接修改的文件這部分是通過確保提取的目錄不是符號鏈接來實現(xiàn)的此外，為了防止不必要的stat調用來確定給定的路徑是否是目錄，在創(chuàng)建目錄時會緩存該路徑

3.CVE—2021—32804 CVSS得分為:8.1，嚴重程度為:

由于絕對路徑清洗不足，npm包tar存在任意文件創(chuàng)建/覆蓋漏洞Node—tar旨在通過在保留路徑標志未設置為真時將絕對路徑轉換為相對路徑來防止提取絕對文件路徑這是通過從tar文件中包含的任何絕對文件路徑中剝離絕對路徑根來實現(xiàn)的

4.CVE—2021—22940 CVSS得分為:7.5，嚴重程度為:

在Node.js中發(fā)現(xiàn)了一個漏洞，該漏洞容易受到發(fā)布后使用攻擊此漏洞允許攻擊者使用內存損壞來更改進程行為該漏洞的最大威脅是機密性和完整性

5.CVE—2021—23343 CVSS得分:5.3嚴重程度:

nodejs—path—parse中發(fā)現(xiàn)一個漏洞所有版本的數據包路徑解析都容易受到通過splitDeviceRe，splitTailRe和splitPathRe正則表達式進行的正則表達式拒絕服務攻擊ReDoS顯示多項式最壞情況時間復雜度

受影響的產品和版本。

面向x86_64 8 x86_64的紅帽企業(yè)Linux

面向x86_64的紅帽企業(yè)Linux擴展更新支持8.4 x86_64

紅帽企業(yè)Linux服務器— AUS 8.4 x86_64

IBM z系統(tǒng)8 s390x的紅帽企業(yè)Linux

面向IBM z系統(tǒng)的紅帽企業(yè)Linux擴展更新支持8.4 s390x

紅帽企業(yè)版Linux for Power，小端8 ppc64le

紅帽企業(yè)版Linux，支持小端字節(jié)序擴展更新支持8.4 ppc64le

紅帽企業(yè)Linux服務器— TUS 8.4 x86_64

ARM 64 8 aarch64的紅帽企業(yè)版Linux

面向ARM 64的紅帽企業(yè)Linux擴展更新支持8.4 aarch64

紅帽企業(yè)Linux服務器—針對SAP解決方案的更新服務8.4 ppc64le

紅帽企業(yè)Linux服務器—面向SAP解決方案8.4 x86_64的更新服務

解決辦法

nodejs:14模塊的更新現(xiàn)在可用于紅帽企業(yè)版Linux 8。

有關如何應用此更新的詳細信息，請參見: