ClickCease Vulnérabilités récentes de Node.js corrigées dans Ubuntu

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Vulnérabilités récentes de Node.js corrigées dans Ubuntu

Rohan Timalsina

Le 19 mars 2024 - L'équipe d'experts de TuxCare

Plusieurs vulnérabilités dans Node.js ont été identifiées, représentant une menace importante pour les systèmes Ubuntu. Ces vulnérabilités pourraient permettre à des attaquants d'exécuter du code arbitraire sur des systèmes compromis, ce qui pourrait avoir de graves conséquences pour les utilisateurs concernés. Pour remédier à ces risques, l'équipe de sécurité d'Ubuntu a rapidement publié des mises à jour de sécurité sur plusieurs versions d'Ubuntu, notamment Ubuntu 22.04 LTS, Ubuntu 20.04 LTS et Ubuntu 18.04.

 

Détails des vulnérabilités de Node.js

 

CVE-2022-32212 (score de gravité Cvss 3 : 8.1 élevé)

Axel Chong a découvert que Node.js ne traitait pas correctement certaines entrées, ce qui permettait à des attaquants distants d'exécuter du code arbitraire.

 

CVE-2022-32213, CVE-2022-32214, CVE-2022-32215 (score de sévérité Cvss 3 : 6.5 moyen)

Zeyu Zhang a découvert des vulnérabilités dans Node.js qui pourraient être exploitées via des fichiers d'entrée spécialement conçus. Bien que ces problèmes n'affectent que Ubuntu 22.04 LTS, ils soulignent l'importance de mécanismes robustes de validation et de traitement des données d'entrée.

CVE-2022-35256 (score de gravité Cvss 3 : 6,5 moyen)

Node.js présente une faille dans la gestion des entrées, car l'analyseur llhttp du module http de Node v18.7.0 ne traite pas correctement les champs d'en-tête ne comportant pas de terminaison CLRF. L'ouverture d'un fichier d'entrée spécialement conçu pourrait permettre à des attaquants distants d'exécuter un code arbitraire, en particulier sur Ubuntu 22.04 LTS.

 

CVE-2022-43548 (score de gravité Cvss 3 : 8.1 élevé)

Une autre vulnérabilité similaire a été trouvée dans Node.js concernant la gestion des entrées, impactant uniquement Ubuntu 22.04 LTS. L'ouverture d'un fichier d'entrée spécialement conçu pourrait potentiellement permettre à des attaquants distants d'exécuter du code arbitraire.

 

Atténuer les risques

 

La découverte de ces vulnérabilités souligne l'importance de mesures de sécurité proactives. Il est vivement conseillé aux utilisateurs de Node.js de mettre rapidement à jour leurs paquets vers les dernières versions disponibles. En restant informées et en appliquant les mises à jour de manière proactive, les organisations peuvent atténuer les risques posés par ces vulnérabilités et assurer la sécurité permanente de leurs environnements Node.js.

Ubuntu 18.04 ayant déjà atteint sa fin de vie, vous ne pouvez recevoir les mises à jour de sécurité que par le biais d'un abonnement Ubuntu pro avec maintenance de sécurité étendue. Cependant, ce n'est pas l'option la plus rentable si vous n'avez besoin que de correctifs. TuxCare's Extended Lifecycle Support for Ubuntu 18.04 est une solution plus abordable qui offre cinq années supplémentaires pour les correctifs de sécurité après la date de fin de vie. Elle garantit que vos charges de travail Ubuntu 18.04 restent sécurisées pendant que vous pouvez vous concentrer sur la planification d'un chemin de migration sûr.

 

Conclusion

 

Si Node.js reste une plateforme puissante et polyvalente pour la création d'applications, ses vulnérabilités nous rappellent qu'il est toujours nécessaire d'adopter des pratiques robustes en matière de cybersécurité. En restant informés des menaces émergentes et en appliquant rapidement les mises à jour de sécurité, les utilisateurs peuvent protéger leurs systèmes et atténuer les risques posés par les vulnérabilités de sécurité.

 

Source : USN-6491-1

Résumé
Vulnérabilités récentes de Node.js corrigées dans Ubuntu
Nom de l'article
Vulnérabilités récentes de Node.js corrigées dans Ubuntu
Description
Restez informé des vulnérabilités de Node.js corrigées dans Ubuntu. Apprenez à réduire les risques et à protéger vos systèmes grâce aux dernières mises à jour de sécurité.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information