Bulletin d'alerte Debian

DLA-3295-1 node-moment -- Mise à jour de sécurité pour LTS

Date du rapport :

31 janvier 2023

Paquets concernés :

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 1009327, Bogue 1014845.
Dans le dictionnaire CVE du Mitre : CVE-2022-24785, CVE-2022-31129.

Plus de précisions :

Moment.js est une bibliothèque JavaScript de date pour analyser, valider, manipuler et formater les dates. Un couple de vulnérabilités ont été signalées.

CVE-2022-24785
Une vulnérabilité de traversée de répertoires impactait les utilisateurs de npm (serveur) de Moment.js, particulièrement si une chaine de locale fournie par l’utilisateur était directement utilisée pour changer la locale de moment.
CVE-2022-31129
Des versions affectées de moment ont été trouvées qui utilisaient un algorithme inefficace d’analyse. Plus particulièrement, l’utilisation d’analyse chaine-vers-date dans moment (plus particulièrement l’analyse rfc2822, qui était essayée par défaut) avait une complexité quadratique (N^2) pour des entrées particulières. Les utilisateurs pouvaient remarquer un ralentissement notable avec des entrées de plus de 10k caractères. Les utilisateurs qui passaient des chaines sans vérification de longueur au constructeur de moment étaient vulnérables à des attaques par (Re)DoS.

Pour Debian 10 Buster, ces problèmes ont été corrigés dans la version 2.24.0+ds-1+deb10u1.

Nous vous recommandons de mettre à jour vos paquets node-moment.

Pour disposer d'un état détaillé sur la sécurité de node-moment, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/node-moment.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.