| Summary: | Update Nodejs to 20.12.1 to fix CVE-2024-27982/83 | ||
|---|---|---|---|
| Product: | Mageia | Reporter: | christian barranco <chb0> |
| Component: | Security | Assignee: | QA Team <qa-bugs> |
| Status: | RESOLVED FIXED | QA Contact: | Sec team <security> |
| Severity: | normal | ||
| Priority: | Normal | CC: | andrewsfarm, sysadmin-bugs |
| Version: | 9 | Keywords: | advisory, validated_update |
| Target Milestone: | --- | ||
| Hardware: | All | ||
| OS: | Linux | ||
| See Also: | https://bugs.mageia.org/show_bug.cgi?id=33087 | ||
| Whiteboard: | MGA9-64-OK | ||
| Source RPM: | nodejs-20.12.0-1.mga9.src.rpm | CVE: | CVE-2024-27982,CVE-2024-27983 |
| Status comment: | |||
|
Description
christian barranco
2024-04-03 22:27:06 CEST
christian barranco
2024-04-03 22:27:29 CEST
CVE:
(none) =>
CVE-2024-27982,CVE-2024-27983 ADVISORY NOTICE PROPOSAL
========================
Nodejs 20.12.1 security fixes
Description
Nodejs 20.12.1 release fixes 2 CVE:
* CVE-2024-27983 - Assertion failed in node::http2::Http2Session::~Http2Session() leads to HTTP/2 server crash- (High)
* CVE-2024-27982 - HTTP Request Smuggling via Content Length Obfuscation - (Medium)
References
https://bugs.mageia.org/show_bug.cgi?id=33055
https://github.com/nodejs/node/releases/tag/v20.12.1
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-27982
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-27983
SRPMS
9/core
nodejs-20.12.1-1.mga9.src.rpm
PACKAGES FOR QA TESTING
=======================
For x86_64:
v8-devel-11.3.244.8.mga9-3.mga9.x86_64.rpm
nodejs-20.12.1-1.mga9.x86_64.rpm
nodejs-devel-20.12.1-1.mga9.x86_64.rpm
npm-10.5.0-1.20.12.1.1.mga9.x86_64.rpm
nodejs-docs-20.12.1-1.mga9.noarch.rpm
nodejs-libs-20.12.1-1.mga9.x86_64.rpmAssignee:
chb0 =>
qa-bugs The mlo versions conflicts with the packages, take care of this next time
installing nodejs-devel-20.12.1-1.mga9.x86_64.rpm npm-10.5.0-1.20.12.1.1.mga9.x86_64.rpm nodejs-docs-20.12.1-1.mga9.noarch.rpm nodejs-libs-20.12.1-1.mga9.x86_64.rpm nodejs-20.12.1-1.mga9.x86_64.rpm from //home/katnatek/qa-testing/x86_64
Preparing... ##################################################################################################
1/5: nodejs-libs ##################################################################################################
2/5: nodejs ##################################################################################################
3/5: npm ##################################################################################################
4/5: nodejs-devel ##################################################################################################
5/5: nodejs-docs ##################################################################################################
1/6: removing npm-1:10.5.0-1.20.12.0.1.mga9.x86_64
##################################################################################################
removing package v8-devel-2:11.3.244.8.mga9-2.mga9.x86_64
2/6: removing v8-devel-2:11.3.244.8.mga9-2.mga9.x86_64
##################################################################################################
3/6: removing nodejs-devel-1:20.12.0-1.mga9.x86_64
##################################################################################################
4/6: removing nodejs-docs-1:20.12.0-1.mga9.noarch
##################################################################################################
5/6: removing nodejs-1:20.12.0-1.mga9.x86_64
##################################################################################################
6/6: removing nodejs-libs-1:20.12.0-1.mga9.x86_64
##################################################################################################
While some packages may have been installed, there were failures.
Some requested packages cannot be installed:
nodejs-devel-20.12.0-0.squidf.mlo9.x86_64 (due to conflicts with nodejs-devel-20.12.1-1.mga9.x86_64, trying to promote nodejs-devel)
v8-devel-11.3.244.8.squidf.mlo9-2.squidf.mlo9.x86_64 (due to unsatisfied nodejs-devel[== 1:20.12.0-0.squidf.mlo9])
RH mageia9 x86_64
After remove all the nodejs packages
LC_ALL=C urpmi /home/katnatek/qa-testing/x86_64/*.rpm
To satisfy dependencies, the following packages are going to be installed:
Package Version Release Arch
(medium "Core Release (distrib1)")
nodejs-packaging 23 4.mga9 noarch
(command line)
nodejs 20.12.1 1.mga9 x86_64
nodejs-devel 20.12.1 1.mga9 x86_64
nodejs-docs 20.12.1 1.mga9 noarch
nodejs-libs 20.12.1 1.mga9 x86_64
npm 10.5.0 1.20.12.1.1.> x86_64
v8-devel 11.3.244.8.> 3.mga9 x86_64
116MB of additional disk space will be used.
22MB of packages will be retrieved.
Proceed with the installation of the 7 packages? (Y/n) y
https://mirror.math.princeton.edu/pub/mageia/distrib/9/x86_64/media/core/release/nodejs-packaging-23-4.mga9.noarch.rpm
installing /var/cache/urpmi/rpms/nodejs-packaging-23-4.mga9.noarch.rpm
/home/katnatek/qa-testing/x86_64/nodejs-20.12.1-1.mga9.x86_64.rpm
/home/katnatek/qa-testing/x86_64/v8-devel-11.3.244.8.mga9-3.mga9.x86_64.rpm
/home/katnatek/qa-testing/x86_64/npm-10.5.0-1.20.12.1.1.mga9.x86_64.rpm
/home/katnatek/qa-testing/x86_64/nodejs-devel-20.12.1-1.mga9.x86_64.rpm
/home/katnatek/qa-testing/x86_64/nodejs-libs-20.12.1-1.mga9.x86_64.rpm
/home/katnatek/qa-testing/x86_64/nodejs-docs-20.12.1-1.mga9.noarch.rpm
Preparing... ##################################################################################################
1/7: nodejs-libs ##################################################################################################
2/7: npm ##################################################################################################
3/7: nodejs ##################################################################################################
4/7: nodejs-packaging ##################################################################################################
5/7: nodejs-devel ##################################################################################################
6/7: v8-devel ##################################################################################################
7/7: nodejs-docs ##################################################################################################
npm install express5 npm WARN deprecated string-similarity@4.0.4: Package no longer supported. Contact Support at https://www.npmjs.com/support for more info. added 51 packages, and audited 52 packages in 3s 3 packages are looking for funding run `npm fund` for details found 0 vulnerabilities npm ls katnatek@ /home/katnatek └── express5@1.0.0 node server.js Server running at http://127.0.0.1:3000/ http://127.0.0.1:3000/ Shows: Hello World node Welcome to Node.js v20.12.1. Type ".help" for more information. > 1+1 2 > a=2 2 > b=4 4 > a*b 8 > a+b 6
katnatek
2024-04-05 02:35:38 CEST
CC:
(none) =>
andrewsfarm
katnatek
2024-04-05 02:35:59 CEST
Whiteboard:
(none) =>
MGA9-64-OK
katnatek
2024-04-05 02:39:41 CEST
Keywords:
(none) =>
advisory Validating. Keywords:
(none) =>
validated_update An update for this issue has been pushed to the Mageia Updates repository. https://advisories.mageia.org/MGASA-2024-0110.html Status:
NEW =>
RESOLVED
Nicolas Salguero
2024-04-10 16:17:56 CEST
Blocks:
(none) =>
33087
Nicolas Salguero
2024-04-10 16:27:52 CEST
See Also:
(none) =>
https://bugs.mageia.org/show_bug.cgi?id=33087
Nicolas Salguero
2024-04-10 16:28:09 CEST
Blocks:
33087 =>
(none) |