解决AEM On-Premise中的Node.js 14.x漏洞
本文介绍如何解决在Red Hat Enterprise Linux (RHEL)上运行的AEM内部部署环境中因安装过时Node.js 14.x而引发的安全问题。 虽然开发环境使用Node.js 16,但系统仍包含旧版Node.js 14包,该包会触发来自安全扫描器的警报。 要解决此问题,请删除或禁用过时的包。
描述 description
环境
产物:51黑料不打烊 Experience Manager (AEM) On-Premise,v6.5
操作系统:Red Hat Enterprise Linux (RHEL)
问题
- 安全扫描程序会检测到由Node.js 14.x导致的漏洞,该漏洞已于2023年4月30日终止使用。
- 系统仍包含位于
/opt/rh/rh-nodejs14/root/usr/bin/node的过时狈辞诲别.箩蝉二进制文件。 - 开发环境使用Node.js 16,但旧版本仍安装在操作系统级别。
- 扫描仪通过检查狈辞诲别.箩蝉版本和运行时配置来标记问题。
解决方法 resolution
要解决此问题,请执行以下步骤:
- 通过在应用程序环境中运行
node -v,确保AEM进程使用Node.js 16。 此外,检查是否有任何流程或构建步骤调用旧版Node.js 14二进制文件。 - 检查Node.js 14安装是否作为RHEL包集的一部分进行管理。?查看RHEL文档以确认安全更新或反向移植的修补程序是否可用。 即使在正式生命周期结束后,一些供应商仍会继续提供维护修补程序。
- 如果旧版Node.js 14软件包不再使用且没有维护更新可用,请将其删除,以减少系统的攻击面,并提高整体安全性。
- 更新部署文档以反映Node.js 16二进制文件的使用。?解决操作系统级别安装和应用程序级别运行时环境之间的任何不匹配问题,以防止出现误报的漏洞报告。
- 确认报告的漏洞源自操作系统级别的狈辞诲别.箩蝉安装,而不是来自更新后的代码库。
执行以下步骤有助于消除过时的软件风险,并确保础贰惭内部部署环境的安全性和合规性。
相关阅读
recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f