Les mainteneurs de Node.js ont publié plusieurs correctifs pour les vulnérabilités de l’environnement d’exécution JavaScript qui pourraient conduire à l’exécution de code arbitraire et à la contrebande de requêtes HTTP, entre autres attaques.
Dans un avis publié hier soir (7 juillet), les détails de sept bogues désormais corrigés ont été publiés, y compris trois vulnérabilités distinctes de contrebande de requêtes HTTP.
En savoir plus sur les dernières nouvelles sur les vulnérabilités de sécurité
Ces trois vulnérabilités – une analyse erronée du bogue d’encodage de transfert, suivi comme CVE-2022-32213 ; un problème de délimitation incorrecte des champs d’en-tête, suivi comme CVE-2022-32214 ; et un bogue d’analyse incorrecte du codage de transfert multiligne, suivi comme CVE-2022-32215 – pourrait tous conduire à la contrebande de requêtes HTTP.
Ces bogues, qui ont tous été classés comme étant de gravité moyenne, ont un impact sur toutes les versions des gammes de versions 18.x, 16.x et 14.x. llhttp v6.0.7 et llhttp v2.1.5 contiennent les correctifs qui ont été mis à jour dans Node.js.
Autres issues
L’avis contient également des détails sur une vulnérabilité de reliaison DNS dans –inspecter via des adresses IP invalides.
Considéré comme étant de gravité élevée, le bogue (CVE-2022-32212) pourrait permettre l’exécution de code arbitraire, avertit l’avis.
« La EstAutoriséHôte contrôle peut facilement être contourné car IsIPAddress ne vérifie pas correctement si une adresse IP est invalide ou non.
« Lorsqu’une adresse IPv4 invalide est fournie, les navigateurs envoient des requêtes DNS au serveur DNS, fournissant un vecteur pour un serveur DNS contrôlé par l’attaquant ou un MitM qui peut usurper les réponses DNS pour effectuer une attaque de reliaison et donc se connecter au débogueur WebSocket, permettant pour l’exécution de code arbitraire. Il s’agit d’un contournement de CVE-2021-22884 », lit-on dans le message. La vulnérabilité affecte toutes les versions des gammes de versions 18.x, 16.x et 14.x.
L’avis détaille également une vulnérabilité de détournement de DLL sous Windows (CVE-2022-32223) et CVE-2022-32222, un bogue de gravité moyenne qui pourrait permettre à un attaquant de tenter de lire openssl.cnf à partir de /home/iojs/build/ au démarrage du système.
Enfin, la version contient également des correctifs pour une vulnérabilité dans OpenSSL, comme signalé précédemment par .
Le bogue d’implémentation de gravité modérée (CVE-2022-2097) peut entraîner l’échec du chiffrement dans certaines circonstances.
Le mode AES OCB pour les plates-formes x86 32 bits utilisant l’implémentation optimisée de l’assemblage AES-NI ne chiffrera pas l’intégralité des données, ce qui pourrait révéler seize octets de données préexistantes dans la mémoire qui n’ont pas été écrites.
Dans le cas particulier du cryptage « en place », seize octets du texte en clair pourraient être révélés.
Étant donné qu’OpenSSL ne prend pas en charge les suites de chiffrement basées sur OCB pour TLS et DTLS, elles ne sont pas affectées.
Toutes les vulnérabilités ont été corrigées dans les dernières versions, Node.js v14.20.0 (LTS), Node.js v16.16.0 (LTS) et Node.js v18.5.0 (Current).