Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-00759

Опубликовано: 07 янв. 2022
Источник: fstec
CVSS3: 7.4
CVSS2: 7.1

Описание

Уязвимость реализации способа указания всех доменных имен и IP-адресов Subject Alternative Names программной платформы Node.js связана с ошибками процедуры подтверждения подлинности сертификата X.509. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить спуфинг-атаки

Вендор

Сообщество свободного программного обеспечения
Red Hat Inc.
Fedora Project
ООО «Ред Софт»
Node.js Foundation

Наименование ПО

Debian GNU/Linux
Red Hat Enterprise Linux
Red Hat Software Collections
Red Hat Quay
Fedora
РЕД ОС
Red Hat Openshift Data Foundation
Node.js

Версия ПО

9 (Debian GNU/Linux)
8 (Red Hat Enterprise Linux)
10 (Debian GNU/Linux)
- (Red Hat Software Collections)
3 (Red Hat Quay)
34 (Fedora)
11 (Debian GNU/Linux)
35 (Fedora)
7.3 (РЕД ОС)
4 (Red Hat Openshift Data Foundation)
от 12 до 12.22.9 (Node.js)
от 14 до 14.18.3 (Node.js)
от 17 до 17.3.1 (Node.js)
от 16 до 16.13.2 (Node.js)

Тип ПО

Операционная система
Прикладное ПО информационных систем
Сетевое программное средство

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Fedora Project Fedora 34
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Fedora Project Fedora 35
ООО «Ред Софт» РЕД ОС 7.3

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,4)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Node.js:
https://nodejs.org/fa/blog/vulnerability/jan-2022-security-releases/
Для Ред ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-programmnoy-platformy-node-js-cve-2021-44531-cve-2021-44532-cve-2021-44533-cve-2022-21824/
Для Debian:
https://security-tracker.debian.org/tracker/CVE-2021-44532
Для продуктов Red Hat Inc,:
https://access.redhat.com/security/cve/cve-2021-44532
Для Fedora:
https://bodhi.fedoraproject.org/updates/FEDORA-2022-0eda327cb4
https://bodhi.fedoraproject.org/updates/FEDORA-2022-78090d2099
https://bodhi.fedoraproject.org/updates/FEDORA-MODULAR-2022-f399a3794d
https://bodhi.fedoraproject.org/updates/FEDORA-MODULAR-2022-2a44c4f680
https://bodhi.fedoraproject.org/updates/FEDORA-MODULAR-2022-1a016f9102
https://bodhi.fedoraproject.org/updates/FEDORA-MODULAR-2022-b5d5c5a7b8
https://bodhi.fedoraproject.org/updates/FEDORA-MODULAR-2022-a627320247
https://bodhi.fedoraproject.org/updates/FEDORA-MODULAR-2022-9ae44d7e4c

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

7.4 High

CVSS3

7.1 High

CVSS2

Связанные уязвимости

redos логотип

ROS-20220125-10

redos
больше 3 лет назад

Уязвимость программной платформы Node.js

7.4 High

CVSS3

7.1 High

CVSS2