1. 修復的CVE信息

• CVE-2021-22883

  描述：10.24.0、12.21.0、14.16.0 和 15.10.0 之前的 Node.js 在使用“unknownProtocol”建立過多連接嘗試時容易受到拒絕服務(wù)攻擊。這會導致文件描述符泄漏。如果系統(tǒng)上配置了文件描述符限制，則服務(wù)器無法接受新連接并阻止進程打開，例如一份文件。如果沒有配置文件描述符限制，那么這會導致內(nèi)存使用過多并導致系統(tǒng)內(nèi)存不足。

• CVE-2021-22884

  描述：10.24.0、12.21.0、14.16.0 和 15.10.0 之前的 Node.js 容易受到 DNS 重新綁定攻擊，因為白名單包括“l(fā)ocalhost6”。當 /etc/hosts 中不存在“l(fā)ocalhost6”時，它只是一個通過 DNS（即通過網(wǎng)絡(luò)）解析的普通域。如果攻擊者控制了受害者的 DNS 服務(wù)器或可以欺騙其響應(yīng)，則可以使用“l(fā)ocalhost6”域繞過 DNS 重新綁定保護。只要攻擊者使用“l(fā)ocalhost6”域，他們?nèi)匀豢梢詰?yīng)用 CVE-2018-7160 中描述的攻擊。

2. 影響的操作系統(tǒng)及修復版本

• 銀河麒麟高級服務(wù)器操作系統(tǒng) V10 SP2

nodejs-10.21.0-7.p01.ky10

nodejs-debugsource-10.21.0-7.p01.ky10

nodejs-devel-10.21.0-7.p01.ky10

nodejs-docs-10.21.0-7.p01.ky10

nodejs-full-i18n-10.21.0-7.p01.ky10

nodejs-libs-10.21.0-7.p01.ky10

npm-6.14.4-1.10.21.0.7.p01.ky10

v8-devel-6.8.275.32-1.10.21.0.7.p01.ky10

3. 受影響的軟件包

• 銀河麒麟高級服務(wù)器操作系統(tǒng) V10 SP2

aarch64:nodejs、nodejs-debugsource、nodejs-devel、nodejs-docs、nodejs-full-i18n、nodejs-libs、npm、v8-devel

x86_64:nodejs、nodejs-debugsource、nodejs-devel、nodejs-docs、nodejs-full-i18n、nodejs-libs、npm、v8-devel

4. 修復方法

方法一：配置源進行升級安裝

1.打開軟件包源配置文件，根據(jù)倉庫地址進行修改。

倉庫源地址：銀河麒麟高級服務(wù)器操作系統(tǒng) V10 SP2

aarch64:http://update.cs2c.com.cn:8080/NS/V10/V10SP2/os/adv/lic/updates/aarch64/

x86_64:http://update.cs2c.com.cn:8080/NS/V10/V10SP2/os/adv/lic/updates/x86_64/

2.配置完成后執(zhí)行更新命令進行升級，命令如下：yum update Packagename

方法二：下載安裝包進行升級安裝

通過軟件包地址下載軟件包，使用軟件包升級命令根據(jù)受影響的軟件包列表進行升級安裝,命令如下：yum install Packagename

5. 軟件包下載地址

• 銀河麒麟高級服務(wù)器操作系統(tǒng) V10 SP2

 nodejs aarch64軟件包下載地址:

http://update.cs2c.com.cn:8080/NS/V10/V10SP2/os/adv/lic/updates/aarch64/Packages/nodejs-10.21.0-7.p01.ky10.aarch64.rpm

http://update.cs2c.com.cn:8080/NS/V10/V10SP2/os/adv/lic/updates/aarch64/Packages/nodejs-debugsource-10.21.0-7.p01.ky10.aarch64.rpm

http://update.cs2c.com.cn:8080/NS/V10/V10SP2/os/adv/lic/updates/aarch64/Packages/nodejs-devel-10.21.0-7.p01.ky10.aarch64.rpm

http://update.cs2c.com.cn:8080/NS/V10/V10SP2/os/adv/lic/updates/aarch64/Packages/nodejs-docs-10.21.0-7.p01.ky10.noarch.rpm

http://update.cs2c.com.cn:8080/NS/V10/V10SP2/os/adv/lic/updates/aarch64/Packages/nodejs-full-i18n-10.21.0-7.p01.ky10.aarch64.rpm

http://update.cs2c.com.cn:8080/NS/V10/V10SP2/os/adv/lic/updates/aarch64/Packages/nodejs-libs-10.21.0-7.p01.ky10.aarch64.rpm

http://update.cs2c.com.cn:8080/NS/V10/V10SP2/os/adv/lic/updates/aarch64/Packages/npm-6.14.4-1.10.21.0.7.p01.ky10.aarch64.rpm

http://update.cs2c.com.cn:8080/NS/V10/V10SP2/os/adv/lic/updates/aarch64/Packages/v8-devel-6.8.275.32-1.10.21.0.7.p01.ky10.aarch64.rpm

 nodejs x86_64軟件包下載地址:

http://update.cs2c.com.cn:8080/NS/V10/V10SP2/os/adv/lic/updates/x86_64/Packages/nodejs-10.21.0-7.p01.ky10.x86_64.rpm

http://update.cs2c.com.cn:8080/NS/V10/V10SP2/os/adv/lic/updates/x86_64/Packages/nodejs-debugsource-10.21.0-7.p01.ky10.x86_64.rpm

http://update.cs2c.com.cn:8080/NS/V10/V10SP2/os/adv/lic/updates/x86_64/Packages/nodejs-devel-10.21.0-7.p01.ky10.x86_64.rpm

http://update.cs2c.com.cn:8080/NS/V10/V10SP2/os/adv/lic/updates/x86_64/Packages/nodejs-docs-10.21.0-7.p01.ky10.noarch.rpm

http://update.cs2c.com.cn:8080/NS/V10/V10SP2/os/adv/lic/updates/x86_64/Packages/nodejs-full-i18n-10.21.0-7.p01.ky10.x86_64.rpm

http://update.cs2c.com.cn:8080/NS/V10/V10SP2/os/adv/lic/updates/x86_64/Packages/nodejs-libs-10.21.0-7.p01.ky10.x86_64.rpm

http://update.cs2c.com.cn:8080/NS/V10/V10SP2/os/adv/lic/updates/x86_64/Packages/npm-6.14.4-1.10.21.0.7.p01.ky10.x86_64.rpm

http://update.cs2c.com.cn:8080/NS/V10/V10SP2/os/adv/lic/updates/x86_64/Packages/v8-devel-6.8.275.32-1.10.21.0.7.p01.ky10.x86_64.rpm

注：其他相關(guān)依賴包請到相同目錄下載