Уязвимость BDU:2020-02545

Дата: 06.02.2020. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2020-02545.

Наименование уязвимости: Уязвимость программной платформы Node.js, связанная с недостаточной проверкой вводимых данных при обработке заголовков HTTP, позволяющая нарушителю получить полный контроль над приложением.

Описание уязвимости: Уязвимость программной платформы Node.js связана с недостаточной проверкой вводимых данных при обработке заголовков HTTP. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить полный контроль над приложением с помощью многочисленных сетевых протоколов
Уязвимое ПО: Операционная система Red Hat Inc. Red Hat Enterprise Linux 8 | Операционная система Novell Inc. OpenSUSE Leap 15.1 | Операционная система Debian GNU/Linux 10 | Сетевое программное средство Node.js Foundation Node.js от 10.0.0 до 10.19.0 | Сетевое программное средство Node.js Foundation Node.js от 12.0.0 до 12.15.0 | Сетевое программное средство Node.js Foundation Node.js от 13.0.0 до 13.8.0 | Прикладное ПО информационных систем Oracle Corp. GraalVM Enterprise Edition 19.3.1 | Прикладное ПО информационных систем Oracle Corp. GraalVM Enterprise Edition 20.0.0 |

Наименование ОС и тип аппаратной платформы: Red Hat Enterprise Linux 8 | OpenSUSE Leap 151 | Debian GNU/Linux 10 |
Дата выявления: 06.02.2020.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению:
Использование рекомендаций:
Обновление для Node.js:
https://nodejs.org/en/blog/release/v10.19.0/
https://nodejs.org/en/blog/release/v12.15.0/
https://nodejs.org/en/blog/release/v13.8.0/
https://nodejs.org/en/blog/vulnerability/february-2020-security-releases/

Для OpenSUSE:
https://lists.opensuse.org/opensuse-security-announce/2020-03/msg00008.html

Для Oracle:
https://www.oracle.com/security-alerts/cpuapr2020.html

Для Debian GNU/Linux:
https://www.debian.org/security/2020/dsa-4669

Для Red Hat:
https://access.redhat.com/security/cve/CVE-2019-15606?extIdCarryOver=true&sc_cid=701f2000001OH7JAAW
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2019-15606.

Тип ошибки CWE: CWE-20, CWE-138, CWE-863
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
http://lists.opensuse.org/opensuse-security-announce/2020-03/msg00008.html
https://access.redhat.com/errata/RHSA-2020:0573
https://access.redhat.com/errata/RHSA-2020:0579
https://access.redhat.com/errata/RHSA-2020:0597
https://access.redhat.com/errata/RHSA-2020:0598
https://access.redhat.com/errata/RHSA-2020:0602
https://hackerone.com/reports/730779
https://nodejs.org/en/blog/release/v10.19.0/
https://nodejs.org/en/blog/release/v12.15.0/
https://nodejs.org/en/blog/release/v13.8.0/
https://nodejs.org/en/blog/vulnerability/february-2020-security-releases/
https://security.gentoo.org/glsa/202003-48
https://security.netapp.com/advisory/ntap-20200221-0004/
https://www.debian.org/security/2020/dsa-4669
https://www.oracle.com/security-alerts/cpuapr2020.html

ФСТЭК России

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован.