Node.js是一个软件开发平台，用于使用JavaScript编程语言构建快速且可扩展的网络应用程序。9月21日,RedHat发布了安全更新，修复了红帽NodeJS软件开发平台中发现的一些重要漏洞。以下是漏洞详情：

漏洞详情

来源：https://access.redhat.com/errata/RHSA-2021:3623

1.CVE-2021-22930 CVSS评分：9.8 严重程度：重要

在 Node.js 中发现了一个漏洞，它容易受到释放后使用攻击。此漏洞允许攻击者利用内存损坏，从而导致进程行为发生变化。此漏洞的最大威胁是机密性和完整性。

2.CVE-2021-32803 CVSS评分：8.3 严重程度：高

npm 包“tar”（又名 node-tar）由于符号链接保护不足而具有任意文件创建/覆盖漏洞。`node-tar` 旨在保证不会提取任何位置将被符号链接修改的文件。这部分是通过确保提取的目录不是符号链接来实现的。此外，为了防止不必要的 `stat` 调用来确定给定的路径是否是目录，在创建目录时会缓存路径。

3.CVE-2021-32804 CVSS评分：8.1 严重程度：高

由于绝对路径清理不足，npm 包“tar”（又名 node-tar）具有任意文件创建/覆盖漏洞。node-tar 旨在通过在 `preservePaths` 标志未设置为 `true` 时将绝对路径转换为相对路径来防止提取绝对文件路径。这是通过从包含在 tar 文件中的任何绝对文件路径中剥离绝对路径根来实现的。

4.CVE-2021-22940 CVSS评分：7.5 严重程度：高

在 Node.js 中发现了一个漏洞，它容易受到释放后使用攻击。此漏洞允许攻击者利用内存损坏来更改进程行为。此漏洞的最大威胁是机密性和完整性。

5.CVE-2021-23343 CVSS评分：5.3 严重程度：中

在 nodejs-path-parse 中发现了一个漏洞。包路径解析的所有版本都容易受到通过 splitDeviceRe、splitTailRe 和 splitPathRe 正则表达式的正则表达式拒绝服务 (ReDoS) 攻击。ReDoS 表现出多项式最坏情况时间复杂度。

受影响产品和版本

Red Hat Enterprise Linux for x86_64 8 x86_64

Red Hat Enterprise Linux for x86_64 – Extended Update Support 8.4 x86_64

Red Hat Enterprise Linux Server – AUS 8.4 x86_64

Red Hat Enterprise Linux for IBM z Systems 8 s390x

Red Hat Enterprise Linux for IBM z Systems – Extended Update Support 8.4 s390x

Red Hat Enterprise Linux for Power, little endian 8 ppc64le

Red Hat Enterprise Linux for Power, little endian – Extended Update Support 8.4 ppc64le

Red Hat Enterprise Linux Server – TUS 8.4 x86_64

Red Hat Enterprise Linux for ARM 64 8 aarch64

Red Hat Enterprise Linux for ARM 64 – Extended Update Support 8.4 aarch64

Red Hat Enterprise Linux Server (for IBM Power LE) – Update Services for SAP Solutions 8.4 ppc64le

Red Hat Enterprise Linux Server – Update Services for SAP Solutions 8.4 x86_64

解决方案

nodejs:12 模块的更新现在可用于 Red Hat Enterprise Linux 8

有关如何应用此更新（包括本公告中描述的更改）的详细信息，请参阅：

https://access.redhat.com/articles/11258

查看更多漏洞信息 以及升级请访问官网：

https://access.redhat.com/security/security-updates/#/security-advisories