Nouveau bulletin de sécurité important publié par IBM il y a de cela quelques jours qui concerne principalement Node js et la bibliothèque Openssl. Comme ce bulletin concerne 10 failles nous allons d’abord commencer par celles qui dérivent de Node.js puis dans un second poste celle qui concerne la bibliothèque OpenSSL.
Dans le contexte de l’IBM i Node.js est principalement utilisé comme runtime & SDK pour les applications Apache Cordova dans le RDI (RPG and COBOL + Modernization Tools, Java Edition).
Ces 5 failles sont les suivantes :
– Node.js pourrais permettre à un attaquant distant d’obtenir des informations sensibles, en raison d’une vulnérabilité dans l’API privateDecrypt() de la bibliothèque cryptographique. Un attaquant pourrait exploiter cette vulnérabilité pour réaliser un canal latéral de synchronisation caché pendant la gestion des erreurs de rembourrage PKCS#1 v1.5 et obtenir des différences de synchronisation significatives dans le décryptage pour les cryptogrammes valides et invalides. Score CVSS 5.3.
– Node.js est vulnérable à la contrebande de requêtes HTTP, causée par l’utilisation de l’obscurcissement de la longueur du contenu dans le serveur HTTP. En envoyant des en-têtes de requête HTTP spécialement conçus, un attaquant peut exploiter cette vulnérabilité pour empoisonner le cache web, contourner la protection du pare-feu de l’application web, et mener des attaques XSS. Score CVSS 5.9.
– Node.js est également vulnérable à un déni de service, causé par une erreur lors de la lecture d’une requête HTTP non traitée avec une extension de tronçon non limitée. En envoyant une requête HTTP spécialement conçue, un attaquant peut exploiter cette vulnérabilité pour épuiser toutes les ressources disponibles. Score CVSS 7.5.
– Node.js se voit aussi vulnérable à une faille causée par un échec d’assertion dans node::http2::Http2Session::~Http2Session(). En envoyant une petite quantité de paquets HTTP/2 frames avec quelques HTTP/2 frames à l’intérieur, un attaquant peut exploiter cette vulnérabilité pour provoquer un crash du serveur HTTP/2. Score CVSS 7.5.
– Enfin la faille plus importante, un attaquant local authentifié peut obtenir des privilèges élevés sur le système, en raison d’un problème dans l’implémentation de l’exception de CAP_NET_BIND_SERVICE. Un attaquant peut exploiter cette vulnérabilité pour injecter du code qui hérite des privilèges élevés du processus. Score CVSS 7.8.
Afin de corriger ces 5 premières failles évoqués il vous suffit de mettre à jour Node.js (voir détail dans la rubrique Rémédiation/Fixes qui suit)
C’est tout pour la première partie de ce bulletin de Sécurité nous vous rappelons que vous pouvez retrouver les détails de toutes ces failles sur le site officiel du support IBM ici-même : (https://lnkd.in/ebSa48rb)
