Veille Technologique 3 – NodeJS

1. Nettoyage insuffisant des en-têtes de cookies lors des redirections inter-domaines :

   • Problème : Undici* ne supprimait pas toujours correctement les en-têtes de cookies lors des redirections inter-domaines.
   • Risques : Fuite accidentelle de cookies vers des sites tiers ou attaques potentielles par des acteurs malveillants.
   • Correction : Une mise à jour a été appliquée pour assurer le nettoyage approprié des en-têtes de cookies.

2. Risque de déni de service lié à HTTP/2* :

   • Problème : La création rapide et l’annulation de flux HTTP/2 pouvaient causer un déni de service.
   • Risques : Possibilité d’exploitation par des attaquants pour perturber le fonctionnement du serveur.
   • Correction : Des mesures ont été prises pour atténuer ce risque.

3. Vulnérabilités de traversée de chemin dans le modèle de permission expérimental :

   • Problème : Le modèle de permission expérimental ne protégeait pas correctement contre la traversée de chemin.
   • Risques : Possibilité d’accès non autorisé à des fichiers sensibles.
   • Correction : Des correctifs ont été apportés pour renforcer la protection contre la traversée de chemin.

4. Contournement des vérifications d’intégrité via des politiques :

   • Problème : Les vérifications d’intégrité pouvaient être contournées en retournant des sommes de contrôle falsifiées.
   • Risques : Affaiblissement de la sécurité en permettant la validation incorrecte des ressources.
   • Correction : La mise à jour renforce la manière dont les politiques vérifient l’intégrité des ressources.

5. Injection de code via des noms d’exportation malveillants dans les modules WebAssembly** :

   • Problème : Des noms d’exportation malveillants dans les modules WebAssembly pouvaient injecter du code JavaScript.
   • Risques : Possibilité d’exécution de code non autorisé.
   • Correction : Des ajustements ont été effectués pour prévenir l’injection de code malveillant.

En résumé, cette mise à jour vise à corriger des vulnérabilités diverses, allant de problèmes de sécurité dans le traitement des en-têtes de cookies et des redirections HTTP/2 à des questions liées à la traversée de chemin, la vérification d’intégrité et l’injection de code potentiellement malveillant dans les modules WebAssembly. Les correctifs apportés renforcent la sécurité de l’environnement Node.js.

Source : https://nodejs.org/en/blog/vulnerability/october-2023-security-releases