БДУ - Уязвимости

BDU:2022-00760: Уязвимость реализации функции console.table() программной платформы Node.js, позволяющая нарушителю вызвать отказ в обслуживании или обойти ограничения безопасности

Описание уязвимости	Уязвимость реализации функции console.table() программной платформы Node.js связана с недостаточным контролем модификации динамически определённых характеристик объекта. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании или обойти ограничения безопасности путем отправки специально созданного запроса
Вендор	Сообщество свободного программного обеспечения, Red Hat Inc., Fedora Project, ООО «Ред Софт», ООО «РусБИТех-Астра», Node.js Foundation
Наименование ПО	Debian GNU/Linux, Red Hat Enterprise Linux, Red Hat Software Collections, Red Hat Quay, Fedora, РЕД ОС (запись в едином реестре российских программ №3751), Astra Linux Special Edition (запись в едином реестре российских программ №369), Red Hat Openshift Data Foundation, Node.js
Версия ПО	9 (Debian GNU/Linux) 8 (Red Hat Enterprise Linux) 10 (Debian GNU/Linux) - (Red Hat Software Collections) 3 (Red Hat Quay) 34 (Fedora) 11 (Debian GNU/Linux) 35 (Fedora) 7.3 (РЕД ОС) 1.7 (Astra Linux Special Edition) 4 (Red Hat Openshift Data Foundation) от 12 до 12.22.9 (Node.js) от 14 до 14.18.3 (Node.js) от 17 до 17.3.1 (Node.js) от 16 до 16.13.2 (Node.js)
Тип ПО	Операционная система, Прикладное ПО информационных систем, Сетевое программное средство
Операционные системы и аппаратные платформы	Сообщество свободного программного обеспечения Debian GNU/Linux 9 Red Hat Inc. Red Hat Enterprise Linux 8 Сообщество свободного программного обеспечения Debian GNU/Linux 10 Fedora Project Fedora 34 Сообщество свободного программного обеспечения Debian GNU/Linux 11 Fedora Project Fedora 35 ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751) ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 (запись в едином реестре российских программ №369)
Тип ошибки	Неверное управление генерацией кода (Внедрение кода), Недостаточный контроль модификации динамически определенных характеристик объекта, Неправильно контролируемая модификация атрибутов прототипа объекта
Идентификатор типа ошибки	CWE-94 CWE-915 CWE-1321
Класс уязвимости	Уязвимость кода
Дата выявления	20.08.2021
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:H/Au:N/C:N/I:P/A:N CVSS 3.0: AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N
Уровень опасности уязвимости	Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 2,6) Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,7)
Возможные меры по устранению уязвимости	Использлвание рекомендаций: Для Node.js: https://nodejs.org/fa/blog/vulnerability/jan-2022-security-releases/ Для Ред ОС: https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-programmnoy-platformy-node-js-cve-2021-44531-cve-2021-44532-cve-2021-44533-cve-2022-21824/ Для Debian: https://security-tracker.debian.org/tracker/CVE-2022-21824 Для продуктов Red Hat Inc,: https://access.redhat.com/security/cve/cve-2022-21824 Для Fedora: https://bodhi.fedoraproject.org/updates/FEDORA-2022-0eda327cb4 https://bodhi.fedoraproject.org/updates/FEDORA-2022-78090d2099 https://bodhi.fedoraproject.org/updates/FEDORA-MODULAR-2022-f399a3794d https://bodhi.fedoraproject.org/updates/FEDORA-MODULAR-2022-2a44c4f680 https://bodhi.fedoraproject.org/updates/FEDORA-MODULAR-2022-1a016f9102 https://bodhi.fedoraproject.org/updates/FEDORA-MODULAR-2022-b5d5c5a7b8 https://bodhi.fedoraproject.org/updates/FEDORA-MODULAR-2022-a627320247 https://bodhi.fedoraproject.org/updates/FEDORA-MODULAR-2022-9ae44d7e4c Для ОС Astra Linux Special Edition 1.7: использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1221SE17MD
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование сроками и состоянием
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-programmnoy-platformy-node-js-cve-2021-44531-cve-2021-44532-cve-2021-44533-cve-2022-21824/ https://www.cybersecurity-help.cz/vdb/SB2022011216 https://access.redhat.com/security/cve/cve-2022-21824 https://nodejs.org/fa/blog/vulnerability/jan-2022-security-releases/ https://security-tracker.debian.org/tracker/CVE-2022-21824 https://hackerone.com/reports/1431042 https://bodhi.fedoraproject.org/updates/FEDORA-2022-0eda327cb4 https://bodhi.fedoraproject.org/updates/FEDORA-2022-78090d2099 https://bodhi.fedoraproject.org/updates/FEDORA-MODULAR-2022-f399a3794d https://bodhi.fedoraproject.org/updates/FEDORA-MODULAR-2022-2a44c4f680 https://bodhi.fedoraproject.org/updates/FEDORA-MODULAR-2022-1a016f9102 https://bodhi.fedoraproject.org/updates/FEDORA-MODULAR-2022-b5d5c5a7b8 https://bodhi.fedoraproject.org/updates/FEDORA-MODULAR-2022-a627320247 https://bodhi.fedoraproject.org/updates/FEDORA-MODULAR-2022-9ae44d7e4c https://github.com/nodejs/node/commit/3454e797137b1706b11ff2f6f7fb60263b39396b https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1221SE17MD
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-21824
Прочая информация	Данные уточняются

Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»