Bulletin d'alerte Debian

DLA-3291-1 node-object-path -- Mise à jour de sécurité pour LTS

Date du rapport :
29 janvier 2023
Paquets concernés :
node-object-path
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2021-3805, CVE-2021-23434.
Plus de précisions :

Il a été découvert que node-object-path, un module de Node.js pour accéder aux propriétés enfouies d’objet en utilisant des chemins séparés par des points, était vulnérable à une pollution de prototype.

  • CVE-2021-3805

    Vulnérabilité de pollution de prototype dans les fonctions del(), empty(), push() et insert() lors de l’utilisation du mode inherited props (par exemple, quand une nouvelle instance object-path est créée avec l’option includeInheritedProps réglée à true ou lors de l’utilisation de l’instance par défaut withInheritedProps).

  • CVE-2021-23434

    Une vulnérabilité de confusion de type pouvait conduire à un contournement du correctif CVE-2020-15256 quand les composants path utilisés dans le paramètre path sont des tableaux, car l’opérateur === renvoie toujours false quand le type d’opérandes est différent.

Pour Debian 10 Buster, ces problèmes ont été corrigés dans la version 0.11.4-2+deb10u2.

Nous vous recommandons de mettre à jour vos paquets node-object-path.

Pour disposer d'un état détaillé sur la sécurité de node-object-path, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/node-object-path.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.