Vulnérabilités dans NodeJS

Date de publication :

CVE-2021-22883 [Score CVSS v3 : 7.5] : Une vulnérabilité a été corrigée dans NodeJS. Elle est due à une mauvaise gestion des connexions entrantes. Lorsque trop de tentatives de connexion avec un protocole non reconnu sont établies, une fuite des descripteurs de fichiers peut se produire, ce qui peut entraîner un déni de service. Si une limite de descripteurs de fichiers est configurée sur le système, le serveur est alors incapable d'accepter de nouvelles connexions et empêche également le processus de s'ouvrir. Si aucune limite de descripteur de fichier n'est configurée, cela peut entraîner une utilisation excessive de la mémoire et provoquer un déni de service impactant le système. Cette faille est exploitable par un attaquant distant et non-authentifié.

CVE-2021-22884[Score CVSS v3 : 7.5] : Une vulnérabilité pouvant permettre une attaque de rebinding DNS lorsque la liste blanche inclut "localhost6" a été corrigée. Si l'attaquant contrôle le serveur DNS de la victime ou peut usurper ses réponses, la protection par rebondissement du DNS peut être contournée en utilisant le domaine "localhost6". Un attaquant distant et non-authentifié peut potentiellement utiliser le domaine "localhost6" pour appliquer l'attaque décrite dans CVE-2018-7160, à savoir une injection de code arbitraire .

CVE-2021-23840 [Score CVSS v3 : 7.5] : Dans OpenSSL, les retours des appels aux méthodes EVP_CipherUpdate, EVP_EncryptUpdate et EVP_DecryptUpdate peuvent dépasser la longueur de l’argument de sortie dans certains cas où la longueur d'entrée est proche de la longueur maximale autorisée pour un entier sur la plateforme. Dans de tels cas, la valeur de retour de l'appel de fonction sera 1 (indiquant le succès), mais la valeur de la longueur de sortie sera négative. Cela pourrait entraîner un mauvais comportement des applications ou un plantage. Un attaquant distant et non-authentifié peut exploiter cette faille afin de provoquer un déni de service de l’application. Cette vulnérabilité peut être exploitée à travers l’implémentation d’OpenSSL dans les versions de NodeJS vulnérables.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Déni de service 
  • Injection de code arbitraire
  • Violation des politiques de sécurité

Criticité

  • Scores CVSS v3 : 7.5

Existence d’un code d’exploitation

  • Aucun code d'exploitation n’est disponible publiquement à l’heure actuelle.

Composants vulnérables

  • NodeJS v10.x antérieures à la version 10.24.0.
  • NodeJS v12.x antérieures à la version 12.21.0.
  • NodeJS v14.x antérieures à la version 14.16.0.
  • NodeJS v15.x antérieures à la version 15.10.0.

CVE

Solutions ou recommandations

Mise en place de correctifs de sécurité

Mettre à jour NodeJS vers une des versions suivantes :

  • v10.24.0

  • v12.21.0

  • v14.16.0

  • v15.10.0

Solution de contournement

  • Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.

Liens