Mae datganiadau cywirol o blatfform JavaScript ochr y gweinydd Node.js 21.6.2, 20.11.1, 18.19.1 ar gael, lle mae 8 bregusrwydd yn sefydlog, a rhoddir lefel uchel o berygl i 4 ohonynt:
- CVE-2024-21892 - Posibilrwydd amnewid cod gan ddefnyddiwr difreintiedig sy'n etifeddu breintiau uchel y mae'r llif gwaith yn rhedeg gyda nhw. Mae'r bregusrwydd yn cael ei achosi gan wall wrth weithredu eithriad sy'n caniatáu i broses gyda breintiau uchel brosesu newidynnau amgylchedd a osodwyd gan ddefnyddiwr di-freintiedig. Dim ond ar gyfer gallu CAP_NET_BIND_SERVICE y dylid bod wedi caniatáu'r eithriad, ond oherwydd nam roedd yn berthnasol i rai galluoedd eraill hefyd.
- CVE-2024-22019 - gwrthod gwasanaeth oherwydd lludded yr adnoddau sydd ar gael (llwyth CPU a defnydd lled band) pan fydd y gweinydd HTTP adeiledig yn prosesu ceisiadau talpog a ddyluniwyd yn arbennig sy'n arwain at ddarllen nifer anghyfyngedig o beit mewn un cysylltiad.
- CVE-2024-21896 - Cyfeiriadur sylfaenol y tu allan i ffiniau llwybrau ffeiliau. Mae'r bregusrwydd yn eich galluogi i osgoi normaleiddio llwybrau ffeil gan ddefnyddio path.resolve () rhag ofn y byddwch yn pasio'r llwybr gan ddefnyddio'r dosbarth Byffer. I gael llwybr o'r fath ar ôl dilysu, gelwir y dull Buffer.from(), ond gall y rhaglen ddefnyddio galwad i Buffer.prototype.utf8Write, sy'n arwain at ddisodli'r cynnwys yn y cam ar ôl i path.resolve() gael ei weithredu a chreu bregusrwydd.
- CVE-2024-22017 Ni wnaeth yr alwad i setuid() ailosod pob breintiau. Yn benodol, nid yw setuid() yn effeithio ar weithrediadau io_uring a ddefnyddir yn libuv os cawsant eu cychwyn cyn i setuid() gael ei alw.
- Mae CVE-2023-46809 yn agored i niwed yn yr API privateDecrypt () sy'n caniatáu i ymosodiad Marvin gael ei ddefnyddio i ddadgryptio RSA yn seiliedig ar amseriad gweithrediadau.
- CVE-2024-21891 Mae ffordd osgoi model caniatâd mynediad posibl wrth ddefnyddio trinwyr normaleiddio llwybr ffeil arferol.
- CVE-2024-21890 - Trin mwgwd anghywir yn y paramedrau “--allow-fs-read” a “--allow-fs-write”. Er enghraifft, bydd "--allow-fs-read=/home/node/.ssh/*.pub" yn caniatáu mynediad i holl gynnwys ".ssh/", ac nid dim ond ffeiliau gyda'r estyniad ".pub", ers mae'r mwgwd yn " *" yn cael ei drin fel elfen olaf y llwybr.
- CVE-2024-22025 Gwadu gwasanaeth oherwydd defnydd adnoddau wrth ddadgodio data cywasgedig wedi'i fformatio gan Brotli a gafwyd trwy alwad nôl().
Yn ogystal, mae'n werth nodi rhyddhau libuv 1.48.0, llyfrgell a ddefnyddir yn Node.js ar gyfer amlblecsio cysylltiadau a phrosesu I/O anghydamserol. Heblaw Node.js, defnyddir y llyfrgell hefyd yn y gweinyddion DNS BIND 9 a Knot DNS, y gweinydd HTTP H2O, a'r fframwaith Luvit Lua. peiriant rhithwir MoarVM, yr iaith Julia, a fframwaith Python uvloop. Mae'r fersiwn newydd yn trwsio gwendid (CVE-2024-24806) sy'n effeithio ar brosiectau sy'n defnyddio libuv ac yn caniatáu ymosodiad ffugio ceisiadau ochr y gweinydd (SSRF) i gael mynediad i'r API mewnol. Mae'r gwendid yn codi oherwydd bod y ffwythiant uv_getaddrinfo() yn cwtogi enw'r gwesteiwr i 256 nod cyn datrys y parth trwy'r ffwythiant getaddrinfo(), a all arwain at bennu'r enw gwesteiwr anghywir. Cyfeiriadau IP a osgoi gwiriadau diogelwch. Er enghraifft, gellir ymosod ar wasanaethau fel MySpace, sy'n creu is-barthau fel "enwdefnyddiwr.example.com," trwy nodi enw defnyddiwr hir.
Rhyddhawyd diweddariad hefyd ar gyfer y cleient HTTP undici 5.28.3 a ddefnyddiwyd yn Node.js, a sefydlogodd fregusrwydd (CVE-2024-24758) a achoswyd gan fethiant i glirio pennawd HTTP Proxy-Authorization wrth ailgyfeirio ceisiadau.
Ffynhonnell: opennet.ru
