用于使用JavaScript编程语言构建快速可扩展的网络应用

Node.js是一个软件开发平台，用于使用JavaScript编程语言构建快速，可扩展的网络应用日前，红帽发布安全更新，修复红帽NodeJS软件开发平台发现的一些重要漏洞

漏洞详细信息

1.CVE—2021—22930 CVSS评分:9.8严重程度:很重要。

在Node.js中发现了一个漏洞，该漏洞容易受到发布后使用攻击此漏洞允许攻击者利用内存损坏，导致进程行为发生变化该漏洞的最大威胁是机密性和完整性

2.CVE—2021—32803 CVSS得分为:8.3，严重程度为:

Npm包tar由于符号链接保护不足，存在任意文件创建/覆盖漏洞node—tar的目的是确保不会提取其位置将被符号链接修改的文件这部分是通过确保提取的目录不是符号链接来实现的此外，为了防止不必要的stat调用来确定给定的路径是否是目录，在创建目录时会缓存该路径

3.CVE—2021—32804 CVSS得分为:8.1，严重程度为:

由于绝对路径清洗不足，npm包tar存在任意文件创建/覆盖漏洞Node—tar旨在通过在保留路径标志未设置为真时将绝对路径转换为相对路径来防止提取绝对文件路径这是通过从tar文件中包含的任何绝对文件路径中剥离绝对路径根来实现的

4.CVE—2021—22940 CVSS得分为:7.5，严重程度为:

在Node.js中发现了一个漏洞，该漏洞容易受到发布后使用攻击此漏洞允许攻击者使用内存损坏来更改进程行为该漏洞的最大威胁是机密性和完整性

5.CVE—2021—23343 CVSS得分:5.3严重程度:

nodejs—path—parse中发现一个漏洞所有版本的数据包路径解析都容易受到通过splitDeviceRe，splitTailRe和splitPathRe正则表达式进行的正则表达式拒绝服务攻击ReDoS显示多项式最坏情况时间复杂度

受影响的产品和版本。

面向x86_64 8 x86_64的红帽企业Linux

面向x86_64的红帽企业Linux扩展更新支持8.4 x86_64

红帽企业Linux服务器— AUS 8.4 x86_64

IBM z系统8 s390x的红帽企业Linux

面向IBM z系统的红帽企业Linux扩展更新支持8.4 s390x

红帽企业版Linux for Power，小端8 ppc64le

红帽企业版Linux，支持小端字节序扩展更新支持8.4 ppc64le

红帽企业Linux服务器— TUS 8.4 x86_64

ARM 64 8 aarch64的红帽企业版Linux

面向ARM 64的红帽企业Linux扩展更新支持8.4 aarch64

红帽企业Linux服务器—针对SAP解决方案的更新服务8.4 ppc64le

红帽企业Linux服务器—面向SAP解决方案8.4 x86_64的更新服务

解决办法

nodejs:14模块的更新现在可用于红帽企业版Linux 8。

有关如何应用此更新的详细信息，请参见: