1. 修復的CVE信息
CVE-2021-22883
描述:10.24.0、12.21.0、14.16.0 和 15.10.0 之前的 Node.js 在使用“unknownProtocol”建立過多連接嘗試時容易受到拒絕服務攻擊。這會導致文件描述符泄漏。如果系統上配置了文件描述符限制,則服務器無法接受新連接并阻止進程打開,例如一份文件。如果沒有配置文件描述符限制,那么這會導致內存使用過多并導致系統內存不足。
CVE-2021-22884
描述:10.24.0、12.21.0、14.16.0 和 15.10.0 之前的 Node.js 容易受到 DNS 重新綁定攻擊,因為白名單包括“localhost6”。當 /etc/hosts 中不存在“localhost6”時,它只是一個通過 DNS(即通過網絡)解析的普通域。如果攻擊者控制了受害者的 DNS 服務器或可以欺騙其響應,則可以使用“localhost6”域繞過 DNS 重新綁定保護。只要攻擊者使用“localhost6”域,他們仍然可以應用 CVE-2018-7160 中描述的攻擊。
2. 影響的操作系統及修復版本
銀河麒麟高級服務器操作系統 V10 SP2
nodejs-10.21.0-7.p01.ky10
nodejs-debugsource-10.21.0-7.p01.ky10
nodejs-devel-10.21.0-7.p01.ky10
nodejs-docs-10.21.0-7.p01.ky10
nodejs-full-i18n-10.21.0-7.p01.ky10
nodejs-libs-10.21.0-7.p01.ky10
npm-6.14.4-1.10.21.0.7.p01.ky10
v8-devel-6.8.275.32-1.10.21.0.7.p01.ky10
3. 受影響的軟件包
銀河麒麟高級服務器操作系統 V10 SP2
aarch64:nodejs、nodejs-debugsource、nodejs-devel、nodejs-docs、nodejs-full-i18n、nodejs-libs、npm、v8-devel
x86_64:nodejs、nodejs-debugsource、nodejs-devel、nodejs-docs、nodejs-full-i18n、nodejs-libs、npm、v8-devel
4. 修復方法
方法一:配置源進行升級安裝
1.打開軟件包源配置文件,根據倉庫地址進行修改。
倉庫源地址:銀河麒麟高級服務器操作系統 V10 SP2
aarch64:http://update.cs2c.com.cn:8080/NS/V10/V10SP2/os/adv/lic/updates/aarch64/
x86_64:http://update.cs2c.com.cn:8080/NS/V10/V10SP2/os/adv/lic/updates/x86_64/
2.配置完成后執行更新命令進行升級,命令如下:yum update Packagename
方法二:下載安裝包進行升級安裝
通過軟件包地址下載軟件包,使用軟件包升級命令根據受影響的軟件包列表進行升級安裝,命令如下:yum install Packagename
5. 軟件包下載地址
銀河麒麟高級服務器操作系統 V10 SP2
nodejs aarch64軟件包下載地址:
nodejs x86_64軟件包下載地址:
注:其他相關依賴包請到相同目錄下載
