Node.js 远程代码执行漏洞

CVE编号

CVE-2021-22930

利用情况

暂无

补丁情况

官方补丁

披露时间

2021-07-29

漏洞描述

2021年7月29日，Node.js发布了v16.x、v14.x 和 v12.x发行版的安全更新，修复了Node.js中的一个Use-After-Free漏洞（CVE-2021-22930），攻击者可以利用此漏洞破坏进程并导致意外行为，例如使应用程序崩溃（拒绝服务）或远程执行代码。
该漏洞与HTTP2 流的处理方式有关。在Node.js解析传入的RST_STREAM帧（用于终止连接）时，由于对接收到的 RST_STREAM 帧的处理中没有错误代码和取消错误代码（nghttp2_cancel），接收器将试图强制清除收到的任何数据，这会导致nghttp2关闭已经破坏的流，从而导致double-free错误

解决建议

目前此漏洞已经修复。建议及时更新到以下版本：
Node.js v12.22.4 (LTS)
Node.js v14.17.4 (LTS)
Node.js v16.6.0 (Current)
建议升级通过以下链接升级：
https://nodejs.org/en/blog/vulnerability/july-2021-security-releases-2/

参考链接
https://cert-portal.siemens.com/productcert/pdf/ssa-389290.pdf
https://github.com/nodejs/node/pull/39527/commits/ba2ac7bb47406815c98366c5a59...
https://hackerone.com/reports/1238162
https://nodejs.org/en/blog/vulnerability/july-2021-security-releases-2/
https://security.netapp.com/advisory/ntap-20211112-0002/
https://www.bleepingcomputer.com/news/security/nodejs-fixes-severe-http-bug-t...

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	nodejs	node.js	*	From (including) 12.0.0	Up to (excluding) 12.22.4
	运行在以下环境
	应用	nodejs	node.js	*	From (including) 14.0.0	Up to (excluding) 14.17.4
	运行在以下环境
	应用	nodejs	node.js	*	From (including) 16.0.0	Up to (excluding) 16.6.0
	运行在以下环境
	系统	alibaba_cloud_linux_2.1903	nodejs	*		Up to (excluding) 14.17.5-1.1.al8
	运行在以下环境
	系统	alpine_3.11	nodejs	*		Up to (excluding) 12.22.4-r0
	运行在以下环境
	系统	alpine_3.12	nodejs	*		Up to (excluding) 12.22.4-r0
	运行在以下环境
	系统	alpine_3.13	nodejs	*		Up to (excluding) 14.17.4-r0
	运行在以下环境
	系统	alpine_3.14	nodejs	*		Up to (excluding) 14.17.4-r0
	运行在以下环境
	系统	alpine_3.15	nodejs	*		Up to (excluding) 14.17.4-r0
	运行在以下环境
	系统	alpine_edge	nodejs	*		Up to (excluding) 14.17.4-r0
	运行在以下环境
	系统	centos_8	nodejs	*		Up to (excluding) 14.17.5-1.module+el8.4.0+12247+e2879e58
	运行在以下环境
	系统	debian_10	nodejs	*		Up to (excluding) 10.24.0~dfsg-1~deb10u1
	运行在以下环境
	系统	debian_11	nodejs	*		Up to (excluding) 12.22.5~dfsg-2~11u1
	运行在以下环境
	系统	debian_9	nodejs	*		Up to (excluding) 4.8.2~dfsg-1
	运行在以下环境
	系统	opensuse_Leap_15.2	nodejs	*		Up to (excluding) 10.24.1-lp152.2.18.1
	运行在以下环境
	系统	opensuse_Leap_15.2	nodejs	*		Up to (excluding) 12.22.5-lp152.3.18.1
	运行在以下环境
	系统	opensuse_Leap_15.3	nodejs	*		Up to (excluding) 10.24.1-1.39.2
	运行在以下环境
	系统	opensuse_Leap_15.3	nodejs	*		Up to (excluding) 12.22.5-4.19.1
	运行在以下环境
	系统	opensuse_Leap_15.3	nodejs	*		Up to (excluding) 14.17.5-5.15.5
	运行在以下环境
	系统	oracle_8	nodejs	*		Up to (excluding) 12.22.5-1.module+el8.4.0+20308+065a70e3
	运行在以下环境
	系统	redhat_8	nodejs	*		Up to (excluding) 2.0.3-1.module+el8.3.0+6519+9f98ed83

攻击路径远程
攻击复杂度容易
权限要求无需权限
影响范围有限影响
EXP成熟度未验证
补丁情况官方补丁
数据保密性数据泄露
数据完整性传输被破坏
服务器危害 DoS
全网数量 N/A

CWE-ID 漏洞类型 CWE-416 释放后使用

正文

Node.js 远程代码执行漏洞

漏洞描述

解决建议

参考链接

受影响软件情况

相关阅读

IBM Jazz Reporting Service-Rational-CLM安全绕过管理任务执行漏洞

IBM Jazz Reporting Service up to 5.0.2/6.0.0 Report Builder 跨站脚本攻击

IBM Tivoli Federated Identity Manager up to 6.2.2 FP15 跨站脚本攻击

IBM WebSphere MQ Light拒绝服务漏洞

发表评论取消回复

还没有评论，来说两句吧...

目录[+]