Node.js多个安全漏洞通告

Node.js是一套建立在Google V8 JavaScript引擎之上的网络应用平台，主要用于构建高度可伸缩的应用程序，以及编写能够处理数万条且同时连接到一个物理机的连接代码。

漏洞描述

近日，飓风安全应急团队监测到Node.js官方发布安全公告，修复了多个存在于 Node.js中的漏洞，其中，2个高危漏洞，4个中危漏洞。漏洞详情如下：

• CVE-2022-32212 DNS重绑定

漏洞类型：DNS重绑定

风险等级：高危

漏洞描述：该漏洞是由于当提供无效的IPv4地址时，浏览器将向DNS服务器发出DNS请求，为攻击者控制的DNS服务器或MITM提供载体。攻击者可以欺骗DNS响应以执行重新绑定攻击，从而连接到WebSocket调试器，从而允许任意代码执行。

• CVE-2022-32223 DLL劫持

漏洞类型：DLL劫持

风险等级：高危

漏洞描述：如果受害者在 Windows 机器上具有以下依赖项，则可以利用此漏洞：OpenSSL 已安装且“C:Program FilesCommon FilesSSLopenssl.cnf”存在。每当出现上述条件时，node.exe都会在当前用户目录中搜索providers.dll。之后，node.exe将尝试在 Windows 中按 DLL 搜索顺序进行搜索providers.dll。攻击者可以将恶意文件放置在providers.dll所在路径下利用此漏洞。

• CVE-2022-32213 Transfer-Encoding头存在解析缺陷

漏洞类型：HTTP 请求走私

风险等级：中危

漏洞描述：该漏洞是由于模块中的解析器未正确解析和验证标头造成的 ，这可能会导致 HTTP 请求走私。

• CVE-2022-32214 标头字段的限定不当漏洞

漏洞类型：HTTP 请求走私

风险等级：中危

漏洞描述：该漏洞是由于模块中的解析器不严格使用 CRLF 序列来分隔 HTTP 请求造成的，这可能会导致 HTTP 请求走私。

• CVE-2022-32215 多行传输编码解析不正确

漏洞类型：HTTP 请求走私

风险等级：中危

漏洞描述：该漏洞是由于模块中的解析器无法正确处理多行标头造成的，这可能会导致 HTTP 请求走私。

• CVE-2022-32222 启动时尝试读取openssl.cnf

漏洞类型：

风险等级：中危

漏洞描述：当 Node.js 在基于 linux 的系统上启动时，它会尝试读取/home/iojs/build/ws/out/Release/obj.target/deps/openssl/openssl.cnf，这通常不存在。在某些共享系统上，攻击者可能能够创建此文件，从而影响其他用户的默认 OpenSSL 配置。

【受影响版本】

• v14.x <= Node.js < v14.20.0 (LTS)

• v16.x <= Node.js < v16.16.0 (LTS)

• v18.x <= Node.js < v18.5.0 (当前)

  
  

【安全版本】

• Node.js v14.20.0 (LTS)

• Node.js v16.16.0 (LTS)

• Node.js v18.5.0（当前）

影响范围

v14.x <= Node.js < v14.20.0 (LTS)，v16.x <= Node.js < v16.16.0 (LTS)，v18.x <= Node.js < v18.5.0 (当前)

解决方案

修复建议

临时修复建议：

如果目前无法升级，若业务环境允许，使用白名单限制web端口的访问来降低风险。

通用修复建议：

官方已发布安全版本，请及时下载更新，下载地址：

https://nodejs.org/en/download/

解决方案

修复建议

临时修复建议：

如果目前无法升级，若业务环境允许，使用白名单限制web端口的访问来降低风险。

通用修复建议：

官方已发布安全版本，请及时下载更新，下载地址：

https://nodejs.org/en/download/

原文始发于微信公众号（飓风网络安全）：Node.js多个安全漏洞通告