Node.js是一个软件开发平台,用于使用JavaScript编程语言构建快速,可扩展的网络应用日前,红帽发布安全更新,修复红帽NodeJS软件开发平台发现的一些重要漏洞
漏洞详细信息
1.CVE—2021—22930 CVSS评分:9.8严重程度:很重要。
在Node.js中发现了一个漏洞,该漏洞容易受到发布后使用攻击此漏洞允许攻击者利用内存损坏,导致进程行为发生变化该漏洞的最大威胁是机密性和完整性
2.CVE—2021—32803 CVSS得分为:8.3,严重程度为:
Npm包tar由于符号链接保护不足,存在任意文件创建/覆盖漏洞node—tar的目的是确保不会提取其位置将被符号链接修改的文件这部分是通过确保提取的目录不是符号链接来实现的此外,为了防止不必要的stat调用来确定给定的路径是否是目录,在创建目录时会缓存该路径
3.CVE—2021—32804 CVSS得分为:8.1,严重程度为:
由于绝对路径清洗不足,npm包tar存在任意文件创建/覆盖漏洞Node—tar旨在通过在保留路径标志未设置为真时将绝对路径转换为相对路径来防止提取绝对文件路径这是通过从tar文件中包含的任何绝对文件路径中剥离绝对路径根来实现的
4.CVE—2021—22940 CVSS得分为:7.5,严重程度为:
在Node.js中发现了一个漏洞,该漏洞容易受到发布后使用攻击此漏洞允许攻击者使用内存损坏来更改进程行为该漏洞的最大威胁是机密性和完整性
5.CVE—2021—23343 CVSS得分:5.3严重程度:
nodejs—path—parse中发现一个漏洞所有版本的数据包路径解析都容易受到通过splitDeviceRe,splitTailRe和splitPathRe正则表达式进行的正则表达式拒绝服务攻击ReDoS显示多项式最坏情况时间复杂度
受影响的产品和版本。
面向x86_64 8 x86_64的红帽企业Linux
面向x86_64的红帽企业Linux扩展更新支持8.4 x86_64
红帽企业Linux服务器— AUS 8.4 x86_64
IBM z系统8 s390x的红帽企业Linux
面向IBM z系统的红帽企业Linux扩展更新支持8.4 s390x
红帽企业版Linux for Power,小端8 ppc64le
红帽企业版Linux,支持小端字节序扩展更新支持8.4 ppc64le
红帽企业Linux服务器— TUS 8.4 x86_64
ARM 64 8 aarch64的红帽企业版Linux
面向ARM 64的红帽企业Linux扩展更新支持8.4 aarch64
红帽企业Linux服务器—针对SAP解决方案的更新服务8.4 ppc64le
红帽企业Linux服务器—面向SAP解决方案8.4 x86_64的更新服务
解决办法
nodejs:14模块的更新现在可用于红帽企业版Linux 8。
有关如何应用此更新的详细信息,请参见:
郑重声明:此文内容为本网站转载企业宣传资讯,目的在于传播更多信息,与本站立场无关。仅供读者参考,并请自行核实相关内容。
-
盘扣式脚手架有哪些优点?四川远方模架告诉你答案!新浪网消息:四川远方模架科技有限公司位于四川省成都市,创建于2017年。公司拥有M60型盘扣脚手架总量达30000余吨,具有...
-
区块链如何跨越未来10年“十四五”时期,随着全球数字化进程的深入推进,区块链产业竞争将更加激烈。作为新兴数字产业之一,区块链在产业变革中发挥着重要作...
-
三人篮球将首登奥运舞台 国家三人男女篮签署反兴奋剂为实现东京奥运会兴奋剂问题“零出现”的目标,近日,中国篮协反兴奋剂委员会分别前往山东济南和上海崇明训练基地,为国家三人男、女...
-
深圳市物联网产业协会终端用户参观展会
2021-09-29 21:12
-
“以心致新,更新向往”——名雕品牌新形象发布会圆满成
2021-09-29 21:10
-
要实现第三季度的预期营收9月份的营收需要超过51.4
2021-09-29 21:07
-
较前一交易日的6.4695元上涨87个基点
2021-09-29 20:41
-
伴随着综合交通体系的完善产业升级转型的逐步推进中心城
2021-09-29 20:36
-
旅游业长期向好下沉市场支撑增长空间
2021-09-29 20:30
-
我国政府近几年发布了一系列政策支持以C—V2X为代表
2021-09-29 20:19
-
国信证券9月28日发布研究报告称维持稳定的医疗买入评
2021-09-29 19:43
-
2022年下半年全球芯片短缺情况不会太严重2022年
2021-09-29 19:28
-
TF证券9月28日发布研究报告称维持科大讯飞买入评级
2021-09-29 19:26