Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-02819

Опубликовано: 12 фев. 2024
Источник: fstec
CVSS3: 5.9
CVSS2: 5.4
EPSS Низкий

Описание

Уязвимость функции PrivateDecrypt() криптографической библиотеки программной платформы Node.js связана с использованием скрытых побочных каналов в результате расхождения во времени расшифровки действительных и недействительных зашифрованных текстов на основе стандарта криптографии PKCS#1 v1.5. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, реализовать атаку Блейхенбахера (Bleichenbacher) или атаку Марвина (Marvin)

Вендор

Red Hat Inc.
Сообщество свободного программного обеспечения
ООО «Ред Софт»
ООО «РусБИТех-Астра»
Node.js Foundation
АО "НППКТ"

Наименование ПО

Red Hat Enterprise Linux
Debian GNU/Linux
РЕД ОС
Astra Linux Special Edition
Node.js
ОСОН ОСнова Оnyx

Версия ПО

8 (Red Hat Enterprise Linux)
10 (Debian GNU/Linux)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
1.7 (Astra Linux Special Edition)
9 (Red Hat Enterprise Linux)
4.7 (Astra Linux Special Edition)
от 18.0 до 18.19.1 (Node.js)
от 20.0 до 20.11.1 (Node.js)
от 21.0 до 21.6.2 (Node.js)
до 2.10.1 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Сетевое программное средство

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
Red Hat Inc. Red Hat Enterprise Linux 9
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО "НППКТ" ОСОН ОСнова Оnyx до 2.10.1

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,9)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Node.js:
https://github.com/nodejs/node/releases/tag/v21.6.2
https://github.com/nodejs/node/releases/tag/v20.11.1
https://github.com/nodejs/node/releases/tag/v18.19.1
https://nodejs.org/en/blog/release/v18.19.1
https://nodejs.org/en/blog/release/v20.11.1
https://nodejs.org/en/blog/release/v21.6.2
https://github.com/nodejs/node/commit/d3d357ab096884f10f5d2f164149727eea875635
https://github.com/nodejs/node/commit/54cd268059626800dbe1e02a88b28d9538cf5587
https://github.com/nodejs/node/releases
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-46809
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-46809
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения nodejs до версии 10.24.0~dfsg-1~deb10u4.osnova6
Для ОС Astra Linux:
обновить пакет nodejs до 10.24.0~dfsg-1~deb10u4+ci202405301535+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17
Для РЕД ОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет nodejs до 10.24.0~dfsg-1~deb10u4+ci202405301535+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 73%
0.0078
Низкий

5.9 Medium

CVSS3

5.4 Medium

CVSS2

Связанные уязвимости

redos логотип

ROS-20240916-04

CVSS3: 5.9
redos
9 месяцев назад

Уязвимость nodejs

ubuntu логотип

CVE-2023-46809

CVSS3: 7.4
ubuntu
9 месяцев назад

Node.js versions which bundle an unpatched version of OpenSSL or run against a dynamically linked version of OpenSSL which are unpatched are vulnerable to the Marvin Attack - https://people.redhat.com/~hkario/marvin/, if PCKS #1 v1.5 padding is allowed when performing RSA descryption using a private key.

redhat логотип

CVE-2023-46809

CVSS3: 5.9
redhat
больше 1 года назад

Node.js versions which bundle an unpatched version of OpenSSL or run against a dynamically linked version of OpenSSL which are unpatched are vulnerable to the Marvin Attack - https://people.redhat.com/~hkario/marvin/, if PCKS #1 v1.5 padding is allowed when performing RSA descryption using a private key.

nvd логотип

CVE-2023-46809

CVSS3: 7.4
nvd
9 месяцев назад

Node.js versions which bundle an unpatched version of OpenSSL or run against a dynamically linked version of OpenSSL which are unpatched are vulnerable to the Marvin Attack - https://people.redhat.com/~hkario/marvin/, if PCKS #1 v1.5 padding is allowed when performing RSA descryption using a private key.

debian логотип

CVE-2023-46809

CVSS3: 7.4
debian
9 месяцев назад

Node.js versions which bundle an unpatched version of OpenSSL or run a ...

EPSS

Процентиль: 73%
0.0078
Низкий

5.9 Medium

CVSS3

5.4 Medium

CVSS2