BDU:2020-03621: Уязвимость реализации протокола TLS программной платформы Node.js, позволяющая нарушителю реализовать атаку типа «человек посередине»

Описание уязвимости Уязвимость реализации протокола TLS программной платформы Node.js связана с недостатками подтверждения подлинности сертификата. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, реализовать атаку типа «человек посередине»
Вендор Canonical Ltd., Red Hat Inc., Oracle Corp., Hipp, Wyrick & Company, Inc.
Наименование ПО Ubuntu, Red Hat Enterprise Linux, Communications Network Charging and Control, SQLite, Sun ZFS Storage Appliance Kit
Версия ПО
  • 18.04 LTS (Ubuntu)
  • 8.0 (Red Hat Enterprise Linux)
  • 19.10 (Ubuntu)
  • 6.0.1 (Communications Network Charging and Control)
  • от 12.0.0 до 12.0.3 включительно (Communications Network Charging and Control)
  • 3.31.1 (SQLite)
  • 8.8 (Sun ZFS Storage Appliance Kit)
Тип ПО Операционная система, Прикладное ПО информационных систем, СУБД, Сетевое программное средство
Операционные системы и аппаратные платформы
  • Canonical Ltd. Ubuntu 18.04 LTS
  • Red Hat Inc. Red Hat Enterprise Linux 8.0
  • Canonical Ltd. Ubuntu 19.10
Тип ошибки Неправильная авторизация, Неправильное подтверждение подлинности сертификата
Идентификатор типа ошибки
Класс уязвимости Уязвимость архитектуры
Дата выявления 05.03.2020
Базовый вектор уязвимости
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,4)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Node.js:
https://nodejs.org/en/blog/vulnerability/june-2020-security-releases/

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujul2020.html

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-8172
Статус уязвимости Подтверждена производителем
Наличие эксплойта Существует в открытом доступе
Способ эксплуатации
  • Нарушение авторизации
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения