Vulnerabilidades recientes de Node.js corregidas en Ubuntu
Se han identificado varias vulnerabilidades en Node.js que suponen una amenaza importante para los sistemas Ubuntu. Estas vulnerabilidades podrían permitir a los atacantes ejecutar código arbitrario en sistemas comprometidos, lo que podría tener graves consecuencias para los usuarios afectados. Para hacer frente a estos riesgos, el equipo de seguridad de Ubuntu lanzó rápidamente actualizaciones de seguridad en varias versiones de Ubuntu, incluyendo Ubuntu 22.04 LTS, Ubuntu 20.04 LTS y Ubuntu 18.04.
Detalles de las vulnerabilidades de Node.js
CVE-2022-32212 (puntuación de gravedad de Cvss 3: 8,1 alta)
Axel Chong descubrió que Node.js manejaba mal ciertas entradas, abriendo la puerta a atacantes remotos para ejecutar código arbitrario.
CVE-2022-32213, CVE-2022-32214, CVE-2022-32215 (puntuación de gravedad Cvss 3: 6,5 Media)
Zeyu Zhang descubrió vulnerabilidades en Node.js que podían ser explotadas a través de archivos de entrada especialmente diseñados. Aunque estos problemas solo afectan a Ubuntu 22.04 LTS, subrayan la importancia de contar con mecanismos robustos de validación y gestión de entradas.
CVE-2022-35256 (puntuación de gravedad de Cvss 3: 6,5 Media)
Node.js presentaba un fallo en la gestión de entradas, ya que el analizador llhttp del módulo http de Node v18.7.0 no gestionaba correctamente los campos de cabecera que carecían de la terminación CLRF. La apertura de un archivo de entrada especialmente diseñado podría permitir a atacantes remotos ejecutar código arbitrario, específicamente en Ubuntu 22.04 LTS.
CVE-2022-43548 (puntuación de gravedad de Cvss 3: 8,1 alta)
Otra vulnerabilidad similar fue encontrada en Node.js con respecto al manejo de entradas, impactando sólo a Ubuntu 22.04 LTS. Abrir un archivo de entrada especialmente diseñado podría permitir a atacantes remotos ejecutar código arbitrario.
Mitigar los riesgos
El descubrimiento de estas vulnerabilidades subraya la importancia de adoptar medidas de seguridad proactivas. Se recomienda encarecidamente a los usuarios de Node.js que actualicen sus paquetes a las últimas versiones disponibles con prontitud. Manteniéndose informados y aplicando las actualizaciones de forma proactiva, las organizaciones pueden mitigar los riesgos que plantean estas vulnerabilidades y garantizar la seguridad permanente de sus entornos Node.js.
Ubuntu 18.04 ya ha llegado al final de su vida útil, por lo que sólo puede recibir actualizaciones de seguridad a través de la suscripción a Ubuntu pro con mantenimiento de seguridad ampliado. Sin embargo, no es la opción más rentable si sólo necesitas parches. TuxCare's Extended Lifecycle Support for Ubuntu 18. 04 es una solución más asequible que proporciona cinco años adicionales para parches de seguridad después de la fecha de finalización. Garantiza que sus cargas de trabajo de Ubuntu 18.04 permanezcan seguras mientras usted puede centrarse en planificar una ruta de migración segura.
Conclusión
Aunque Node.js sigue siendo una plataforma potente y versátil para crear aplicaciones, sus vulnerabilidades nos recuerdan la necesidad siempre presente de adoptar prácticas de ciberseguridad sólidas. Al mantenerse informados sobre las amenazas emergentes y aplicar rápidamente las actualizaciones de seguridad, los usuarios pueden proteger sus sistemas y mitigar los riesgos que plantean las vulnerabilidades de seguridad.
Fuente: USN-6491-1