BDU:2022-00330: Уязвимость программной платформы Node.js, связанная с непоследовательной интерпретацией http-запросов, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Описание уязвимости Уязвимость программной платформы Node.js связана с несанкционированном экспортом HTTP-запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Вендор Сообщество свободного программного обеспечения, Node.js Foundation, ООО «РусБИТех-Астра»
Наименование ПО Debian GNU/Linux, Node.js, Astra Linux Special Edition (запись в едином реестре российских программ №369)
Версия ПО
  • 8.0 (Debian GNU/Linux)
  • 9.0 (Debian GNU/Linux)
  • 10.0 (Debian GNU/Linux)
  • от 10.0.0 до 10.19.0 (Node.js)
  • от 12.0.0 до 12.15.0 (Node.js)
  • от 13.0.0 до 13.8.0 (Node.js)
  • 1.7 (Astra Linux Special Edition)
  • 4.7 (Astra Linux Special Edition)
Тип ПО Операционная система, Сетевое программное средство
Операционные системы и аппаратные платформы
Тип ошибки Непоследовательная интерпретация HTTP-запросов ('Контрабанда HTTP-запросов')
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 07.02.2020
Базовый вектор уязвимости
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости
Для Node:
использование рекомендаций производителя: https://nodejs.org/en/blog/release/v13.8.0/

Для ОС Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2019-15605

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения