Veille technologique 12 – NodeJS

Principales Améliorations de la Mise à Jour de Sécurité de Node.js

Cette version de Node.js représente une mise à jour critique axée sur la sécurité, implémentant des correctifs vitaux pour renforcer la stabilité et la protection des applications. Voici un aperçu des points saillants de cette mise à jour :

• Injection de Code et Élévation de Privilèges via les Capacités Linux : Une vulnérabilité critique permettant l’injection de code malveillant et l’élévation non autorisée de privilèges dans les environnements Linux.

• Lecture d’une Requête HTTP non Traitée avec une Extension de Chunk Non Bornée : Une faille pouvant être exploitée pour provoquer des attaques de déni de service en exploitant les fonctionnalités HTTP de manière non conventionnelle.

• Traversée de Chemin par Piratage des Internes de Buffer : Une vulnérabilité ouvrant la voie à des attaques de traversée de chemin en manipulant les structures internes de Buffer.

• setuid() Ne Supprime Pas Tous les Privilèges en Raison de io_uring : Un problème lié à la gestion des privilèges, permettant à un processus de conserver des autorisations non intentionnelles malgré l’appel à setuid().

• Vulnérabilité à l’Attaque Marvin : Une faille de sécurité dans la bibliothèque crypto, potentiellement exposant Node.js à une variante temporelle de l’attaque Bleichenbacher contre le rembourrage.
  

• Multiples Contournements du Modèle de Permission : Des failles potentielles permettant de contourner le modèle de permission, exposant les systèmes à des risques de sécurité.

• Gestion Inappropriée des Caractères Génériques dans –allow-fs-read et –allow-fs-write : Une lacune dans la documentation, pouvant entraîner des erreurs d’autorisation lorsque des caractères génériques sont mal utilisés dans les permissions du système de fichiers.

• Attaque par Déni de Service par Épuisement des Ressources dans le Décodage Brotli de fetch() : Une vulnérabilité affectant la fonction de décodage Brotli de fetch(), pouvant conduire à des attaques de déni de service par épuisement des ressources.

Cette mise à jour inclut également des améliorations des dépendances clés telles que undici 5.28.3, libuv 1.48.0 et OpenSSL 3.0.13+quic1 pour garantir un environnement sécurisé et fiable. Nous recommandons vivement à tous les utilisateurs de Node.js de mettre à jour leurs systèmes afin de bénéficier de ces améliorations de sécurité cruciales et de maintenir la robustesse de leurs applications.