БДУ - Уязвимости

BDU:2022-00758: Уязвимость реализации способа указания всех доменных имен и IP-адресов Subject Alternative Names программной платформы Node.js, позволяющая нарушителю проводить спуфинг-атаки

Описание уязвимости	Уязвимость реализации способа указания всех доменных имен и IP-адресов Subject Alternative Names программной платформы Node.js связана с ошибками процедуры подтверждения подлинности сертификата. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить спуфинг-атаки
Вендор	Сообщество свободного программного обеспечения, Red Hat Inc., Fedora Project, ООО «Ред Софт», Node.js Foundation
Наименование ПО	Debian GNU/Linux, Red Hat Enterprise Linux, Red Hat Software Collections, Red Hat Quay, Fedora, РЕД ОС (запись в едином реестре российских программ №3751), Red Hat Openshift Data Foundation, Node.js
Версия ПО	9 (Debian GNU/Linux) 8 (Red Hat Enterprise Linux) 10 (Debian GNU/Linux) - (Red Hat Software Collections) 3 (Red Hat Quay) 34 (Fedora) 11 (Debian GNU/Linux) 35 (Fedora) 7.3 (РЕД ОС) 4 (Red Hat Openshift Data Foundation) от 12 до 12.22.9 (Node.js) от 14 до 14.18.3 (Node.js) от 17 до 17.3.1 (Node.js) от 16 до 16.13.2 (Node.js)
Тип ПО	Операционная система, Прикладное ПО информационных систем, Сетевое программное средство
Операционные системы и аппаратные платформы	Сообщество свободного программного обеспечения Debian GNU/Linux 9 Red Hat Inc. Red Hat Enterprise Linux 8 Сообщество свободного программного обеспечения Debian GNU/Linux 10 Fedora Project Fedora 34 Сообщество свободного программного обеспечения Debian GNU/Linux 11 Fedora Project Fedora 35 ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751)
Тип ошибки	Неправильное подтверждение подлинности сертификата
Идентификатор типа ошибки	CWE-295
Класс уязвимости	Уязвимость кода
Дата выявления	31.12.2021
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:H/Au:N/C:C/I:C/A:N CVSS 3.0: AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,4)
Возможные меры по устранению уязвимости	Использование рекомендаций: Для Node.js: http://nodejs.org/en/blog/vulnerability/jan-2022-security-releases/ Для Ред ОС: https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-programmnoy-platformy-node-js-cve-2021-44531-cve-2021-44532-cve-2021-44533-cve-2022-21824/ Для продуктов Red Hat Inc.: https://access.redhat.com/security/cve/cve-2021-44531 Для Fedora: https://bodhi.fedoraproject.org/updates/FEDORA-2022-0eda327cb4 https://bodhi.fedoraproject.org/updates/FEDORA-2022-78090d2099 https://bodhi.fedoraproject.org/updates/FEDORA-MODULAR-2022-1a016f9102 https://bodhi.fedoraproject.org/updates/FEDORA-MODULAR-2022-b5d5c5a7b8 https://bodhi.fedoraproject.org/updates/FEDORA-MODULAR-2022-f399a3794d https://bodhi.fedoraproject.org/updates/FEDORA-MODULAR-2022-2a44c4f680 https://bodhi.fedoraproject.org/updates/FEDORA-MODULAR-2022-9ae44d7e4c https://bodhi.fedoraproject.org/updates/FEDORA-MODULAR-2022-a627320247 Для Debian: https://security-tracker.debian.org/tracker/CVE-2021-44531
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Подмена при взаимодействии
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-programmnoy-platformy-node-js-cve-2021-44531-cve-2021-44532-cve-2021-44533-cve-2022-21824/ https://bugzilla.redhat.com/show_bug.cgi?id=2040839 https://access.redhat.com/security/cve/cve-2021-44531 http://nodejs.org/en/blog/vulnerability/jan-2022-security-releases/ https://vulners.com/ubuntucve/UB:CVE-2021-44531 https://bodhi.fedoraproject.org/updates/FEDORA-2022-0eda327cb4 https://bodhi.fedoraproject.org/updates/FEDORA-2022-78090d2099 https://bodhi.fedoraproject.org/updates/FEDORA-MODULAR-2022-1a016f9102 https://bodhi.fedoraproject.org/updates/FEDORA-MODULAR-2022-b5d5c5a7b8 https://bodhi.fedoraproject.org/updates/FEDORA-MODULAR-2022-f399a3794d https://bodhi.fedoraproject.org/updates/FEDORA-MODULAR-2022-2a44c4f680 https://bodhi.fedoraproject.org/updates/FEDORA-MODULAR-2022-9ae44d7e4c https://bodhi.fedoraproject.org/updates/FEDORA-MODULAR-2022-a627320247 https://github.com/nodejs/node/commit/50439b446f1e6bfc91f03d4b070edb5357b16b8b https://security-tracker.debian.org/tracker/CVE-2021-44531
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2021-44531
Прочая информация	Данные уточняются

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»