Security update just released upstream: https://github.com/nodejs/node/releases/tag/v20.12.1
CVE: (none) => CVE-2024-27982,CVE-2024-27983
ADVISORY NOTICE PROPOSAL ======================== Nodejs 20.12.1 security fixes Description Nodejs 20.12.1 release fixes 2 CVE: * CVE-2024-27983 - Assertion failed in node::http2::Http2Session::~Http2Session() leads to HTTP/2 server crash- (High) * CVE-2024-27982 - HTTP Request Smuggling via Content Length Obfuscation - (Medium) References https://bugs.mageia.org/show_bug.cgi?id=33055 https://github.com/nodejs/node/releases/tag/v20.12.1 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-27982 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-27983 SRPMS 9/core nodejs-20.12.1-1.mga9.src.rpm PACKAGES FOR QA TESTING ======================= For x86_64: v8-devel-11.3.244.8.mga9-3.mga9.x86_64.rpm nodejs-20.12.1-1.mga9.x86_64.rpm nodejs-devel-20.12.1-1.mga9.x86_64.rpm npm-10.5.0-1.20.12.1.1.mga9.x86_64.rpm nodejs-docs-20.12.1-1.mga9.noarch.rpm nodejs-libs-20.12.1-1.mga9.x86_64.rpm
Assignee: chb0 => qa-bugs
The mlo versions conflicts with the packages, take care of this next time installing nodejs-devel-20.12.1-1.mga9.x86_64.rpm npm-10.5.0-1.20.12.1.1.mga9.x86_64.rpm nodejs-docs-20.12.1-1.mga9.noarch.rpm nodejs-libs-20.12.1-1.mga9.x86_64.rpm nodejs-20.12.1-1.mga9.x86_64.rpm from //home/katnatek/qa-testing/x86_64 Preparing... ################################################################################################## 1/5: nodejs-libs ################################################################################################## 2/5: nodejs ################################################################################################## 3/5: npm ################################################################################################## 4/5: nodejs-devel ################################################################################################## 5/5: nodejs-docs ################################################################################################## 1/6: removing npm-1:10.5.0-1.20.12.0.1.mga9.x86_64 ################################################################################################## removing package v8-devel-2:11.3.244.8.mga9-2.mga9.x86_64 2/6: removing v8-devel-2:11.3.244.8.mga9-2.mga9.x86_64 ################################################################################################## 3/6: removing nodejs-devel-1:20.12.0-1.mga9.x86_64 ################################################################################################## 4/6: removing nodejs-docs-1:20.12.0-1.mga9.noarch ################################################################################################## 5/6: removing nodejs-1:20.12.0-1.mga9.x86_64 ################################################################################################## 6/6: removing nodejs-libs-1:20.12.0-1.mga9.x86_64 ################################################################################################## While some packages may have been installed, there were failures. Some requested packages cannot be installed: nodejs-devel-20.12.0-0.squidf.mlo9.x86_64 (due to conflicts with nodejs-devel-20.12.1-1.mga9.x86_64, trying to promote nodejs-devel) v8-devel-11.3.244.8.squidf.mlo9-2.squidf.mlo9.x86_64 (due to unsatisfied nodejs-devel[== 1:20.12.0-0.squidf.mlo9])
RH mageia9 x86_64 After remove all the nodejs packages LC_ALL=C urpmi /home/katnatek/qa-testing/x86_64/*.rpm To satisfy dependencies, the following packages are going to be installed: Package Version Release Arch (medium "Core Release (distrib1)") nodejs-packaging 23 4.mga9 noarch (command line) nodejs 20.12.1 1.mga9 x86_64 nodejs-devel 20.12.1 1.mga9 x86_64 nodejs-docs 20.12.1 1.mga9 noarch nodejs-libs 20.12.1 1.mga9 x86_64 npm 10.5.0 1.20.12.1.1.> x86_64 v8-devel 11.3.244.8.> 3.mga9 x86_64 116MB of additional disk space will be used. 22MB of packages will be retrieved. Proceed with the installation of the 7 packages? (Y/n) y https://mirror.math.princeton.edu/pub/mageia/distrib/9/x86_64/media/core/release/nodejs-packaging-23-4.mga9.noarch.rpm installing /var/cache/urpmi/rpms/nodejs-packaging-23-4.mga9.noarch.rpm /home/katnatek/qa-testing/x86_64/nodejs-20.12.1-1.mga9.x86_64.rpm /home/katnatek/qa-testing/x86_64/v8-devel-11.3.244.8.mga9-3.mga9.x86_64.rpm /home/katnatek/qa-testing/x86_64/npm-10.5.0-1.20.12.1.1.mga9.x86_64.rpm /home/katnatek/qa-testing/x86_64/nodejs-devel-20.12.1-1.mga9.x86_64.rpm /home/katnatek/qa-testing/x86_64/nodejs-libs-20.12.1-1.mga9.x86_64.rpm /home/katnatek/qa-testing/x86_64/nodejs-docs-20.12.1-1.mga9.noarch.rpm Preparing... ################################################################################################## 1/7: nodejs-libs ################################################################################################## 2/7: npm ################################################################################################## 3/7: nodejs ################################################################################################## 4/7: nodejs-packaging ################################################################################################## 5/7: nodejs-devel ################################################################################################## 6/7: v8-devel ################################################################################################## 7/7: nodejs-docs ##################################################################################################
npm install express5 npm WARN deprecated string-similarity@4.0.4: Package no longer supported. Contact Support at https://www.npmjs.com/support for more info. added 51 packages, and audited 52 packages in 3s 3 packages are looking for funding run `npm fund` for details found 0 vulnerabilities npm ls katnatek@ /home/katnatek └── express5@1.0.0 node server.js Server running at http://127.0.0.1:3000/ http://127.0.0.1:3000/ Shows: Hello World node Welcome to Node.js v20.12.1. Type ".help" for more information. > 1+1 2 > a=2 2 > b=4 4 > a*b 8 > a+b 6
CC: (none) => andrewsfarm
Whiteboard: (none) => MGA9-64-OK
Keywords: (none) => advisory
Validating.
Keywords: (none) => validated_updateCC: (none) => sysadmin-bugs
An update for this issue has been pushed to the Mageia Updates repository. https://advisories.mageia.org/MGASA-2024-0110.html
Status: NEW => RESOLVEDResolution: (none) => FIXED
Blocks: (none) => 33087
See Also: (none) => https://bugs.mageia.org/show_bug.cgi?id=33087
Blocks: 33087 => (none)