是一个软件开发平台，用于使用Javascript编程语言构建快速且可扩展的网络应用程序。9月27日,RedHat发布了安全更新，修复了红帽NodeJS软件开发平台中发现的一些重要漏洞。以下是漏洞详情:

漏洞详情

来源:/errata/RHSA-2021:3666

-2021-22930 CVSS评分: 严重程度:重要

在 中发现了一个漏洞，它容易受到释放后使用攻击。此漏洞允许攻击者利用内存损坏，从而导致进程行为发生变化。此漏洞的最大威胁是机密性和完整性。

-2021-32803 CVSS评分: 严重程度:高

npm 包“tar”（又名 node-tar）由于符号链接保护不足而具有任意文件创建/覆盖漏洞。`node-tar` 旨在保证不会提取任何位置将被符号链接修改的文件。这部分是通过确保提取的目录不是符号链接来实现的。此外，为了防止不必要的 `stat` 调用来确定给定的路径是否是目录，在创建目录时会缓存路径。

-2021-32804 CVSS评分: 严重程度:高

由于绝对路径清理不足，npm 包“tar”（又名 node-tar）具有任意文件创建/覆盖漏洞。node-tar 旨在通过在 `preservePaths` 标志未设置为 `true` 时将绝对路径转换为相对路径来防止提取绝对文件路径。这是通过从包含在 tar 文件中的任何绝对文件路径中剥离绝对路径根来实现的。

-2021-22940 CVSS评分: 严重程度:高

在 中发现了一个漏洞，它容易受到释放后使用攻击。此漏洞允许攻击者利用内存损坏来更改进程行为。此漏洞的最大威胁是机密性和完整性。

-2021-23343 CVSS评分: 严重程度:中

在 nodejs-path-parse 中发现了一个漏洞。包路径解析的所有版本都容易受到通过 splitDeviceRe、splitTailRe 和 splitPathRe 正则表达式的正则表达式拒绝服务 (ReDoS) 攻击。ReDoS 表现出多项式最坏情况时间复杂度。

受影响产品和版本

Red Hat Enterprise Linux for x86_64 8 x86_64

Red Hat Enterprise Linux for x86_64 - Extended Update Support x86_64

Red Hat Enterprise Linux Server - AUS x86_64

Red Hat Enterprise Linux for IBM z Systems 8 s390x

Red Hat Enterprise Linux for IBM z Systems - Extended Update Support s390x

Red Hat Enterprise Linux for Power, little endian 8 ppc64le

Red Hat Enterprise Linux for Power, little endian - Extended Update Support ppc64le

Red Hat Enterprise Linux Server - TUS x86_64

Red Hat Enterprise Linux for ARM 64 8 aarch64

Red Hat Enterprise Linux for ARM 64 - Extended Update Support aarch64

Red Hat Enterprise Linux Server (for IBM Power LE) - Update Services for SAP Solutions ppc64le

Red Hat Enterprise Linux Server - Update Services for SAP Solutions x86_64

解决方案

nodejs:14 模块的更新现在可用于 Red Hat Enterprise Linux 8.

有关如何应用此更新（包括本公告中描述的更改）的详细信息，请参阅:

/articles/11258

查看更多漏洞信息 以及升级请访问官网:

/security/security-updates/#/security-advisories