聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
Node.js 维护人员为JavaScript运行时环境中的七个漏洞发布修复方案。它们可导致任意代码执行和HTTP请求走私等攻击。
其中,三个漏洞可导致HTTP请求走私,分别是传输-解码解析有权限漏洞(CVE-2022-32213)、标头字段的限定不当漏洞(CVE-2022-32214)以及不正确的多行传输-编码解析漏洞(CVE-2022-32215)。
这些漏洞均被评级为“中危”级别,影响18.x、16.x和14.x 发布。IIhttp v6.0.7和IIhttp v2.1.5包含的修复方案已在 Node.js 中更新。
其它漏洞
该安全公告中还包含通过不合法的IP地址造成的 –inspect 中的一个DNS重绑定漏洞详情。
该高危漏洞的编号为CVE-2022-32212,可导致任意代码执行。安全公告提醒称,“IsAllowdHost 检查可轻易被绕过,因为 IsIPAddress 未能正确检查IP地址合法与否。如果提供不合法的IPv4地址,则浏览器将向 DNS服务器提出DNS请求,为受攻击者控制的DNS服务器或可欺骗DNS响应执行重绑定攻击的中间人提供向量,连接至 WebSocket调试解调器,从而造成任意代码执行后果。这是对CVE-2021-22884的绕过。”该漏洞影响所有的 18.x、16.x 和 14.x的发布。
该安全公告还详述了Windows上的一个DLL劫持漏洞(CVE-2022-32223)和中危漏洞CVE-2022-32222。后者可导致攻击者在系统启动时尝试从 /home/iojs/build/中读取openssl.cnf。
此外,公告中还包括对 OpenSSL 中中危漏洞CVE-2022-2097的修复方案,在某些情况下可导致加密失败。使用AES-NI 汇编优化实现的32位 x86 平台AES OCB模式将不会完整加密数据,从而暴露了未被写的已存在内存中的16个数据字节。在 ‘所部署的’ 加密的特殊案例中,16个字节的明文文本可遭暴露。由于OpenSSL 不支持基于OCB的 TLS和DTLS 加密套件,因此TLS和DTLS并不受影响。
以上所有漏洞均已在最新版本Node.js v14.20.0 (LTS)、Node.js v16.16.0 (LTS) 和 Node.js v18.5.0(当前)版本中修复。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
GitHub 在热门 Node.js changelog 开源库Standard Version中发现 RCE 漏洞
原文链接
https://portswigger.net/daily-swig/node-js-fixes-multiple-bugs-that-could-lead-to-rce-http-request-smuggling
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
658
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
