CVE-2021-44531

Versões do Node.js anteriores à 12.22.9

Versões do Node.js anteriores à 14.18.3

Versões do Node.js anteriores à 16.13.2

Versões do Node.js anteriores à 17.3.1

O problema está relacionado à implementação de Nomes Alternativos de Assunto (Subject Alternative Names) na plataforma Node.js, especificamente com erros no procedimento de autenticação de certificados. Isso pode permitir que um invasor remoto realize ataques de spoofing, contornando intermediários com restrições de nome. O problema surge da aceitação de tipos arbitrários de Nomes Alternativos de Assunto, incluindo tipos URI SAN, que normalmente não são definidos para uso por Infraestruturas de Chave Pública. Quando os protocolos permitem URI SANs, o Node.js não comparava corretamente o URI, levando a possíveis contornamentos de segurança.

Para versões do Node.js anteriores à 12.22.9, atualize para a versão 12.22.9 ou posterior para desativar o tipo URI SAN ao verificar um certificado em relação a um nome de host.

Para versões do Node.js anteriores à 14.18.3, atualize para a versão 14.18.3 ou posterior para desativar o tipo URI SAN ao verificar um certificado em relação a um nome de host.

Para versões do Node.js anteriores à 16.13.2, atualize para a versão 16.13.2 ou posterior para desativar o tipo URI SAN ao verificar um certificado em relação a um nome de host.

Para versões do Node.js anteriores à 17.3.1, atualize para a versão 17.3.1 ou posterior para desativar o tipo URI SAN ao verificar um certificado em relação a um nome de host.

Como solução alternativa temporária, considere usar a opção de linha de comando --security-revert para reverter o comportamento do disa