Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-04210

Опубликовано: 25 июн. 2021
Источник: fstec
CVSS3: 6.5
CVSS2: 6.4
EPSS Низкий

Описание

Уязвимость функции uv__idna_toascii() программной платформы Node.js связана с чтением данных за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации или вызвать отказ в обслуживании

Вендор

Сообщество свободного программного обеспечения
Red Hat Inc.
Node.js Foundation
АО «ИВК»
АО "НППКТ"

Наименование ПО

Debian GNU/Linux
Red Hat Enterprise Linux
Red Hat Software Collections
Red Hat Quay
A-MQ Clients
Node.js
A-MQ Interconnect
Альт 8 СП
ОСОН ОСнова Оnyx

Версия ПО

9 (Debian GNU/Linux)
8 (Red Hat Enterprise Linux)
10 (Debian GNU/Linux)
- (Red Hat Software Collections)
3 (Red Hat Quay)
2 (A-MQ Clients)
от 16.0.0 до 16.4.1 (Node.js)
от 14.0.0 до 14.17.2 (Node.js)
от 12.0.0 до 12.22.2 (Node.js)
1 (A-MQ Interconnect)
- (Альт 8 СП)
до 2.1 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем
Сетевое программное средство

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
АО «ИВК» Альт 8 СП -

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Node.js:
https://nodejs.org/en/blog/vulnerability/july-2021-security-releases/
Для Debian:
https://security-tracker.debian.org/tracker/CVE-2021-22918
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2021-22918
Для ОСОН Основа:
Обновление программного обеспечения libuv1 до версии 1.24.1-1+deb10u1
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 72%
0.00743
Низкий

6.5 Medium

CVSS3

6.4 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2021-22918

CVSS3: 5.3
ubuntu
почти 4 года назад

Node.js before 16.4.1, 14.17.2, 12.22.2 is vulnerable to an out-of-bounds read when uv__idna_toascii() is used to convert strings to ASCII. The pointer p is read and increased without checking whether it is beyond pe, with the latter holding a pointer to the end of the buffer. This can lead to information disclosures or crashes. This function can be triggered via uv_getaddrinfo().

redhat логотип

CVE-2021-22918

CVSS3: 5.3
redhat
почти 4 года назад

Node.js before 16.4.1, 14.17.2, 12.22.2 is vulnerable to an out-of-bounds read when uv__idna_toascii() is used to convert strings to ASCII. The pointer p is read and increased without checking whether it is beyond pe, with the latter holding a pointer to the end of the buffer. This can lead to information disclosures or crashes. This function can be triggered via uv_getaddrinfo().

nvd логотип

CVE-2021-22918

CVSS3: 5.3
nvd
почти 4 года назад

Node.js before 16.4.1, 14.17.2, 12.22.2 is vulnerable to an out-of-bounds read when uv__idna_toascii() is used to convert strings to ASCII. The pointer p is read and increased without checking whether it is beyond pe, with the latter holding a pointer to the end of the buffer. This can lead to information disclosures or crashes. This function can be triggered via uv_getaddrinfo().

msrc логотип

CVE-2021-22918

CVSS3: 5.3
msrc
5 месяцев назад

Описание отсутствует

debian логотип

CVE-2021-22918

CVSS3: 5.3
debian
почти 4 года назад

Node.js before 16.4.1, 14.17.2, 12.22.2 is vulnerable to an out-of-bou ...

EPSS

Процентиль: 72%
0.00743
Низкий

6.5 Medium

CVSS3

6.4 Medium

CVSS2