提问人:jstuckey 提问时间:10/28/2023 更新时间:10/30/2023 访问量:204
CVE-2023-39332 是否仅适用于 Node.js 20?
Does CVE-2023-39332 apply only to Node.js 20?
问:
CVE-2023-39332 的描述说它只影响节点 20:
此漏洞会影响在 Node.js 20 中使用实验性权限模型的所有用户
但是,“已知受影响的软件配置”部分表示所有节点版本都受到影响。
安全发布博客文章提到了 Node 18 和 20 的补丁,但 CVE 仅在 Node 20 的更改日志中提及,而未在 Node 18 的更改日志中提及。
我问的原因是我们的安全扫描工具在我们的 Node 18 映像中标记了这个 CVE。我猜这是因为 Node 18 被列为受影响的版本,尽管这似乎不准确。似乎我们唯一的办法是将扫描程序配置为忽略节点 18 的 CVE。
答:
1赞
Pino
10/30/2023
#1
有时漏洞报告不准确,因此,扫描工具会给出不准确的结果。有时不准确之处会随着时间的推移而得到纠正,在其他情况下,报告只是被标记为“有争议”(例如,参见 CVE-2022-40160、CVE-2023-39017 和 CVE-2023-35116)甚至“已拒绝”(参见 CVE-2022-41852),在这些情况下扫描工具应该做什么并不明显; 例如,OWASP 依赖项检查仍然报告我上面链接的 CVE。特别要注意的是,“有争议”和“已拒绝”标签位于报告的文本描述中,无法通过自动工具轻松管理。
对于 CVE-2023-39332,我试图从各种来源收集信息(就像我在这些情况下所做的那样),发现比您已经注意到的矛盾还要多。我的发现是:
- 正如您所指出的,NIST 在描述中说 CVE 仅影响节点 20,但在元数据中也说 CVE 影响“最高(不包括)20.8.0”版本。
- 相反,CVE.org 说只有 20.8.0 版本受到影响,Fedora 的发行说明(由 NIST 和 CVE.org 链接)在一定程度上证实了这一点,该发行说明将 Node 20.8.1 列为固定版本。
- 然而,Node 的安全发布博客文章混合了多个漏洞(不太清楚)
- 它引用版本 20.8.1 作为 20.x 系列的固定版本(根据 CVE.org 和 Fedora),
- 它说 CVE-2023-39332 的级别为“高”,而“影响”部分表示只有节点 20 具有“高”漏洞。
- 您链接的更改日志进一步确认 CVE 仅影响 v20。
总之,如果您的工具在节点 2023 上报告 CVE-39332-18,我认为这是误报。
评论
0赞
jstuckey
10/30/2023
谢谢!我们将配置扫描程序以忽略节点 18 的此 CVE。
评论