ClickCease Vulnerabilidades recientes de Node.js corregidas en Ubuntu

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Vulnerabilidades recientes de Node.js corregidas en Ubuntu

por Rohan Timalsina

19 de marzo de 2024 - Equipo de expertos TuxCare

Se han identificado varias vulnerabilidades en Node.js que suponen una amenaza importante para los sistemas Ubuntu. Estas vulnerabilidades podrían permitir a los atacantes ejecutar código arbitrario en sistemas comprometidos, lo que podría tener graves consecuencias para los usuarios afectados. Para hacer frente a estos riesgos, el equipo de seguridad de Ubuntu lanzó rápidamente actualizaciones de seguridad en varias versiones de Ubuntu, incluyendo Ubuntu 22.04 LTS, Ubuntu 20.04 LTS y Ubuntu 18.04.

 

Detalles de las vulnerabilidades de Node.js

 

CVE-2022-32212 (puntuación de gravedad de Cvss 3: 8,1 alta)

Axel Chong descubrió que Node.js manejaba mal ciertas entradas, abriendo la puerta a atacantes remotos para ejecutar código arbitrario.

 

CVE-2022-32213, CVE-2022-32214, CVE-2022-32215 (puntuación de gravedad Cvss 3: 6,5 Media)

Zeyu Zhang descubrió vulnerabilidades en Node.js que podían ser explotadas a través de archivos de entrada especialmente diseñados. Aunque estos problemas solo afectan a Ubuntu 22.04 LTS, subrayan la importancia de contar con mecanismos robustos de validación y gestión de entradas.

CVE-2022-35256 (puntuación de gravedad de Cvss 3: 6,5 Media)

Node.js presentaba un fallo en la gestión de entradas, ya que el analizador llhttp del módulo http de Node v18.7.0 no gestionaba correctamente los campos de cabecera que carecían de la terminación CLRF. La apertura de un archivo de entrada especialmente diseñado podría permitir a atacantes remotos ejecutar código arbitrario, específicamente en Ubuntu 22.04 LTS.

 

CVE-2022-43548 (puntuación de gravedad de Cvss 3: 8,1 alta)

Otra vulnerabilidad similar fue encontrada en Node.js con respecto al manejo de entradas, impactando sólo a Ubuntu 22.04 LTS. Abrir un archivo de entrada especialmente diseñado podría permitir a atacantes remotos ejecutar código arbitrario.

 

Mitigar los riesgos

 

El descubrimiento de estas vulnerabilidades subraya la importancia de adoptar medidas de seguridad proactivas. Se recomienda encarecidamente a los usuarios de Node.js que actualicen sus paquetes a las últimas versiones disponibles con prontitud. Manteniéndose informados y aplicando las actualizaciones de forma proactiva, las organizaciones pueden mitigar los riesgos que plantean estas vulnerabilidades y garantizar la seguridad permanente de sus entornos Node.js.

Ubuntu 18.04 ya ha llegado al final de su vida útil, por lo que sólo puede recibir actualizaciones de seguridad a través de la suscripción a Ubuntu pro con mantenimiento de seguridad ampliado. Sin embargo, no es la opción más rentable si sólo necesitas parches. TuxCare's Extended Lifecycle Support for Ubuntu 18. 04 es una solución más asequible que proporciona cinco años adicionales para parches de seguridad después de la fecha de finalización. Garantiza que sus cargas de trabajo de Ubuntu 18.04 permanezcan seguras mientras usted puede centrarse en planificar una ruta de migración segura.

 

Conclusión

 

Aunque Node.js sigue siendo una plataforma potente y versátil para crear aplicaciones, sus vulnerabilidades nos recuerdan la necesidad siempre presente de adoptar prácticas de ciberseguridad sólidas. Al mantenerse informados sobre las amenazas emergentes y aplicar rápidamente las actualizaciones de seguridad, los usuarios pueden proteger sus sistemas y mitigar los riesgos que plantean las vulnerabilidades de seguridad.

 

Fuente: USN-6491-1

Resumen
Vulnerabilidades recientes de Node.js corregidas en Ubuntu
Nombre del artículo
Vulnerabilidades recientes de Node.js corregidas en Ubuntu
Descripción
Mantente informado sobre las vulnerabilidades de Node.js corregidas en Ubuntu. Aprenda a mitigar los riesgos y proteger los sistemas con las últimas actualizaciones de seguridad.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Conviértete en escritor invitado de TuxCare

Correo

¡Ayúdenos a comprender
el panorama de Linux!

Complete nuestra encuesta sobre el estado del código abierto y podrá ganar uno de varios premios, ¡el máximo valorado en 500 dólares!

Su experiencia es necesaria para dar forma al futuro de Enterprise Linux.