Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-02798

Опубликовано: 30 окт. 2023
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость HTTP-сервера программной платформы Node.js связана с неконтролируемым расходом ресурсов в результате считывания неограниченного количества байтов из одного соединения при обработке HTTP-запросов с фрагментированной кодировкой. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, обойти ограничения безопасности и вызвать отказ в обслуживании

Вендор

Red Hat Inc.
Сообщество свободного программного обеспечения
ООО «Ред Софт»
Node.js Foundation
АО "НППКТ"

Наименование ПО

Red Hat Enterprise Linux
Debian GNU/Linux
РЕД ОС
Red Hat Openshift Data Foundation
Red Hat Software Collections for Red Hat Enterprise Linux
Node.js
ОСОН ОСнова Оnyx

Версия ПО

8 (Red Hat Enterprise Linux)
10 (Debian GNU/Linux)
11 (Debian GNU/Linux)
7.3 (РЕД ОС)
4 (Red Hat Openshift Data Foundation)
9 (Red Hat Enterprise Linux)
9.0 Extended Update Support (Red Hat Enterprise Linux)
9.2 Extended Update Support (Red Hat Enterprise Linux)
7 (Red Hat Software Collections for Red Hat Enterprise Linux)
от 18.0 до 18.19.1 (Node.js)
от 20.0 до 20.11.1 (Node.js)
от 21.0 до 21.6.2 (Node.js)
до 3.1 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем
Сетевое программное средство

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11
ООО «Ред Софт» РЕД ОС 7.3
Red Hat Inc. Red Hat Enterprise Linux 9
Red Hat Inc. Red Hat Enterprise Linux 9.0 Extended Update Support
Red Hat Inc. Red Hat Enterprise Linux 9.2 Extended Update Support
АО "НППКТ" ОСОН ОСнова Оnyx до 3.1

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Node.js:
https://github.com/nodejs/node/releases/tag/v21.6.2
https://github.com/nodejs/node/releases/tag/v20.11.1
https://github.com/nodejs/node/releases/tag/v18.19.1
https://nodejs.org/en/blog/release/v18.19.1
https://nodejs.org/en/blog/release/v20.11.1
https://nodejs.org/en/blog/release/v21.6.2
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2024-22019
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-22019
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОСОН ОСнова Оnyx: Обновление программного обеспечения nodejs до версии 18.20.4+dfsg-1~deb12u1.osnova3u1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 59%
0.0038
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

redos логотип

ROS-20240808-03

CVSS3: 7.5
redos
больше 1 года назад

Уязвимость nodejs

ubuntu логотип

CVE-2024-22019

CVSS3: 7.5
ubuntu
около 2 лет назад

A vulnerability in Node.js HTTP servers allows an attacker to send a specially crafted HTTP request with chunked encoding, leading to resource exhaustion and denial of service (DoS). The server reads an unbounded number of bytes from a single connection, exploiting the lack of limitations on chunk extension bytes. The issue can cause CPU and network bandwidth exhaustion, bypassing standard safeguards like timeouts and body size limits.

redhat логотип

CVE-2024-22019

CVSS3: 7.5
redhat
около 2 лет назад

A vulnerability in Node.js HTTP servers allows an attacker to send a specially crafted HTTP request with chunked encoding, leading to resource exhaustion and denial of service (DoS). The server reads an unbounded number of bytes from a single connection, exploiting the lack of limitations on chunk extension bytes. The issue can cause CPU and network bandwidth exhaustion, bypassing standard safeguards like timeouts and body size limits.

nvd логотип

CVE-2024-22019

CVSS3: 7.5
nvd
около 2 лет назад

A vulnerability in Node.js HTTP servers allows an attacker to send a specially crafted HTTP request with chunked encoding, leading to resource exhaustion and denial of service (DoS). The server reads an unbounded number of bytes from a single connection, exploiting the lack of limitations on chunk extension bytes. The issue can cause CPU and network bandwidth exhaustion, bypassing standard safeguards like timeouts and body size limits.

msrc логотип

CVE-2024-22019

CVSS3: 7.5
msrc
около 1 месяца назад

A vulnerability in Node.js HTTP servers allows an attacker to send a specially crafted HTTP request with chunked encoding leading to resource exhaustion and denial of service (DoS). The server reads an unbounded number of bytes from a single connection exploiting the lack of limitations on chunk extension bytes. The issue can cause CPU and network bandwidth exhaustion bypassing standard safeguards like timeouts and body size limits.

EPSS

Процентиль: 59%
0.0038
Низкий

7.5 High

CVSS3

7.8 High

CVSS2