СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
08.03.2024

Уязвимость BDU:2024-01954

Уязвимость BDU:2024-01954

Идентификатор: BDU:2024-01954.

Наименование уязвимости: Уязвимость модуля JavaScript для подписи и шифрования объектов JSON jose, связанная с неконтролируемым расходом ресурсов, позволяющая нарушителю вызвать отказ в обслуживании.

Описание уязвимости: Уязвимость модуля JavaScript для подписи и шифрования объектов JSON jose связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
Уязвимое ПО: Операционная система АО «НТЦ ИТ РОСА» ROSA Virtualization 2.1 | Прикладное ПО информационных систем jose до 4.15.4 включительно | Прикладное ПО информационных систем jose-node-cjs-runtime до 4.15.4 включительно | Прикладное ПО информационных систем jose-node-esm-runtime до 4.15.4 включительно | Операционная система, Прикладное ПО информационных систем АО «НТЦ ИТ РОСА» ROSA Virtualization 3.0 3.0 | Операционная система ООО «НЦПР» МСВСфера 9.5 |

Наименование ОС и тип аппаратной платформы: ROSA Virtualization 21 | ROSA Virtualization 3.0 30 | МСВСфера 95 |
Дата выявления: 08.03.2024.
CVSS 2.0: AV:N/AC:L/Au:M/C:N/I:N/A:C
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,1)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,9)

Возможные меры по устранению:
Использование рекомендаций:
https://github.com/panva/jose/commit/02a65794f7873cdaf12e81e80ad076fcdc4a9314
https://github.com/panva/jose/commit/1b91d88d2f8233f3477a5f4579aa5f8057b2ee8b
https://github.com/panva/jose/security/advisories/GHSA-hhhv-q57g-882q

Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2888

Для системы управления средой виртуализации «ROSA Virtualization»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2878

Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2024:9181?lang=ru.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2024-28176.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://github.com/panva/jose/commit/02a65794f7873cdaf12e81e80ad076fcdc4a9314
https://github.com/panva/jose/commit/1b91d88d2f8233f3477a5f4579aa5f8057b2ee8b
https://github.com/panva/jose/security/advisories/GHSA-hhhv-q57g-882q
https://abf.rosa.ru/advisories/ROSA-SA-2025-2888
https://abf.rosa.ru/advisories/ROSA-SA-2025-2878
https://errata.msvsphere-os.ru/definition/9/INFCSA-2024:9181?lang=ru

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: