Node.js Javascript çalışma zamanı ortamı, bir güncellemedeki, bazıları büyük zarar potansiyeline sahip olan bazı güvenlik açıklarını giderir. Potansiyel etkiler arasında yalnızca ayrıcalık yükseltme ve yetkisiz kod yürütme değil, aynı zamanda saldırganların düğüm tabanlı hizmetleri çökertme yeteneği de yer alıyor.
Duyuru
En tehlikelisi, CAP_SYS_ADMIN gibi Linux özelliklerinin işlenmesi ve değerlendirilmesindeki bir hatadır. Yükseltilmiş ayrıcalıklarla çalışan bir düğüm işlemi bunları düzgün şekilde işlemez ve saldırganların bu sürece kendi kodlarını eklemesine olanak tanır. Güvenlik açığı, CVE-2024-21892 tanımlayıcısına ve risk düzeyine sahiptir “yüksek“.
Bu durum, parçalı kodlamaya sahip hazırlanmış HTTP paketleri aracılığıyla işlemci ve ağda aşırı yüklemeye yol açabilecek bir hizmet reddi güvenlik açığı olan CVE-2024-22019 ile paylaşılmaktadır. Düğüm ekibi ayrıca dosya yolu işlemenin yanlış olduğunu (CVE-2024-21896) ve setuid() çağrısına (CVE-2024-22017) rağmen ayrıcalıkların yanlışlıkla atanmadığını düşünüyor. yüksek risk olarak kabul edilir.
Orta düzeydeki güvenlik açıkları düzeltildi
Üç ek güvenlik deliği var orta Risk sınıflandırması:
Ek olarak, Node.js'nin güncellenmiş sürümleri, her biri kendi güvenlik açıklarını gideren libuv, onbir ve OpenSSL'nin yeni sürümlerini içerir. Güvenlik yamaları 20.11.1, 21.6.2 ve 18.9.1 sürümlerinde mevcuttur. Geçtiğimiz Ekim ayında, ücretsiz JavaScript çalışma zamanının 21. sürümü yayınlandı ve aynı zamanda geliştiriciler önceki 20 sürümün Uzun Süreli Destek (LTS) sürümü olduğunu açıkladılar.
(cku)
Haberin Sonu
Duyuru
En tehlikelisi, CAP_SYS_ADMIN gibi Linux özelliklerinin işlenmesi ve değerlendirilmesindeki bir hatadır. Yükseltilmiş ayrıcalıklarla çalışan bir düğüm işlemi bunları düzgün şekilde işlemez ve saldırganların bu sürece kendi kodlarını eklemesine olanak tanır. Güvenlik açığı, CVE-2024-21892 tanımlayıcısına ve risk düzeyine sahiptir “yüksek“.
Bu durum, parçalı kodlamaya sahip hazırlanmış HTTP paketleri aracılığıyla işlemci ve ağda aşırı yüklemeye yol açabilecek bir hizmet reddi güvenlik açığı olan CVE-2024-22019 ile paylaşılmaktadır. Düğüm ekibi ayrıca dosya yolu işlemenin yanlış olduğunu (CVE-2024-21896) ve setuid() çağrısına (CVE-2024-22017) rağmen ayrıcalıkların yanlışlıkla atanmadığını düşünüyor. yüksek risk olarak kabul edilir.
Orta düzeydeki güvenlik açıkları düzeltildi
Üç ek güvenlik deliği var orta Risk sınıflandırması:
- “Marvin Saldırısı” adı verilen bir şifreleme saldırısı, düğüm tabanlı API'ler (CVE-2023-46809) gibi şifreli iletişimler için risk oluşturur.
- 20 ve 21 numaralı düğümlerdeki mevcut deneysel yetkilendirme modeli, akıllı rota manipülasyonu (CVE-2024-21891) yoluyla kandırılabilir ve
- gibi komut satırı parametreleri için joker karakter işlemeye yönelik belgeler --allow-fs-read=/home/node/.ssh/*.pub bu örnekte yıldız işaretinden * sonraki tüm karakterlerin göz ardı edildiğinden ve bu nedenle çok fazla dosyanın okuma için bırakıldığından bahsetmiyor (CVE-2024-21890).
Ek olarak, Node.js'nin güncellenmiş sürümleri, her biri kendi güvenlik açıklarını gideren libuv, onbir ve OpenSSL'nin yeni sürümlerini içerir. Güvenlik yamaları 20.11.1, 21.6.2 ve 18.9.1 sürümlerinde mevcuttur. Geçtiğimiz Ekim ayında, ücretsiz JavaScript çalışma zamanının 21. sürümü yayınlandı ve aynı zamanda geliştiriciler önceki 20 sürümün Uzun Süreli Destek (LTS) sürümü olduğunu açıkladılar.
(cku)
Haberin Sonu