BDU:2024-01219

Опубликовано: 25 фев. 2018

Источник: fstec

CVSS3: 7.5

CVSS2: 7.8

EPSS Низкий

Описание

Уязвимость библиотеки sshpk программной платформы Node.js связана с неограниченным распределением ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании.

Вендор

Red Hat Inc.

Сообщество свободного программного обеспечения

Node.js Foundation

Наименование ПО

Red Hat Enterprise Linux

Debian GNU/Linux

Red Hat Software Collections

Red Hat Quay

Node.js

Версия ПО

7 (Red Hat Enterprise Linux)

10 (Debian GNU/Linux)

- (Red Hat Software Collections)

3 (Red Hat Quay)

11 (Debian GNU/Linux)

12 (Debian GNU/Linux)

до 1.13.1 включительно (Node.js)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Сетевое программное средство

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 7

Сообщество свободного программного обеспечения Debian GNU/Linux 10

Сообщество свободного программного обеспечения Debian GNU/Linux 11

Сообщество свободного программного обеспечения Debian GNU/Linux 12

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для node.js:

https://github.com/TritonDataCenter/node-sshpk/issues/44

https://github.com/TritonDataCenter/node-sshpk/commit/46065d38a5e6d1bccf86d3efb2fb83c14e3f9957

Для программных продуктов Red Hat Inc.:

https://access.redhat.com/errata/RHSA-2020:2625

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2018-3737

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2018-3737
CVE

EPSS

Процентиль: 67%

0.00562

Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

CVE-2018-3737

CVSS3: 7.5

ubuntu

около 7 лет назад

sshpk is vulnerable to ReDoS when parsing crafted invalid public keys.

CVE-2018-3737

CVSS3: 5.3

redhat

больше 7 лет назад

sshpk is vulnerable to ReDoS when parsing crafted invalid public keys.

CVE-2018-3737

CVSS3: 7.5

nvd

около 7 лет назад

sshpk is vulnerable to ReDoS when parsing crafted invalid public keys.

CVE-2018-3737

CVSS3: 7.5

debian

около 7 лет назад

sshpk is vulnerable to ReDoS when parsing crafted invalid public keys.

GHSA-2m39-62fm-q8r3

CVSS3: 7.5

github

почти 7 лет назад

Regular Expression Denial of Service in sshpk

EPSS

Процентиль: 67%

0.00562

Низкий

7.5 High

CVSS3

7.8 High

CVSS2