Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-09421

Опубликовано: 04 янв. 2024
Источник: fstec
CVSS3: 5.3
CVSS2: 5
EPSS Низкий

Описание

Уязвимость библиотеки micromatch связана с неэффективной сложностью регулярных выражении. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Red Hat Inc.
Сообщество свободного программного обеспечения
ООО «Ред Софт»
Fedora Project

Наименование ПО

Red Hat Enterprise Linux
JBoss Enterprise Application Platform
Red Hat JBoss Data Grid
Red Hat Process Automation
Red Hat 3scale API Management Platform
Red Hat Integration Camel K
Debian GNU/Linux
Red Hat Data Grid
РЕД ОС
Red Hat Satellite
Fedora
OpenShift Serverless
Red Hat Discovery
Cryostat
Red Hat build of OptaPlanner
Red Hat Developer Hub
Red Hat Fuse
micromatch
Openshift Service Mesh

Версия ПО

6 (Red Hat Enterprise Linux)
7 (Red Hat Enterprise Linux)
8 (Red Hat Enterprise Linux)
7 (JBoss Enterprise Application Platform)
7 (Red Hat JBoss Data Grid)
7 (Red Hat Process Automation)
2 (Red Hat 3scale API Management Platform)
- (Red Hat Integration Camel K)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
8 (Red Hat Data Grid)
7.3 (РЕД ОС)
6 (Red Hat Satellite)
9 (Red Hat Enterprise Linux)
39 (Fedora)
- (OpenShift Serverless)
- (Red Hat Discovery)
2 (Cryostat)
8 (Red Hat build of OptaPlanner)
- (Red Hat Developer Hub)
40 (Fedora)
7 (Red Hat Fuse)
до 4.0.8 (micromatch)
2.6 for RHEL 8 (Openshift Service Mesh)
6.16 for RHEL 8 (Red Hat Satellite)
6.16 for RHEL 9 (Red Hat Satellite)

Тип ПО

Операционная система
Прикладное ПО информационных систем
Сетевое средство
ПО программно-аппаратного средства

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 6
Red Hat Inc. Red Hat Enterprise Linux 7
Red Hat Inc. Red Hat Enterprise Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
Red Hat Inc. Red Hat Enterprise Linux 9
Fedora Project Fedora 39
Fedora Project Fedora 40

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для micromatch:
https://github.com/micromatch/micromatch/commit/03aa8052171e878897eee5d7bb2ae0ae83ec2ade
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-4067
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-4067
Для Fedora:
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2024-78df19aaf3

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 50%
0.00266
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2024-4067

CVSS3: 5.3
ubuntu
около 1 года назад

The NPM package `micromatch` is vulnerable to Regular Expression Denial of Service (ReDoS). The vulnerability occurs in `micromatch.braces()` in `index.js` because the pattern `.*` will greedily match anything. By passing a malicious payload, the pattern matching will keep backtracking to the input while it doesn't find the closing bracket. As the input size increases, the consumption time will also increase until it causes the application to hang or slow down. There was a merged fix but further testing shows the issue persists. This issue should be mitigated by using a safe pattern that won't start backtracking the regular expression due to greedy matching.

redhat логотип

CVE-2024-4067

CVSS3: 7.5
redhat
больше 1 года назад

The NPM package `micromatch` prior to 4.0.8 is vulnerable to Regular Expression Denial of Service (ReDoS). The vulnerability occurs in `micromatch.braces()` in `index.js` because the pattern `.*` will greedily match anything. By passing a malicious payload, the pattern matching will keep backtracking to the input while it doesn't find the closing bracket. As the input size increases, the consumption time will also increase until it causes the application to hang or slow down. There was a merged fix but further testing shows the issue persists. This issue should be mitigated by using a safe pattern that won't start backtracking the regular expression due to greedy matching. This issue was fixed in version 4.0.8.

nvd логотип

CVE-2024-4067

CVSS3: 5.3
nvd
около 1 года назад

The NPM package `micromatch` prior to 4.0.8 is vulnerable to Regular Expression Denial of Service (ReDoS). The vulnerability occurs in `micromatch.braces()` in `index.js` because the pattern `.*` will greedily match anything. By passing a malicious payload, the pattern matching will keep backtracking to the input while it doesn't find the closing bracket. As the input size increases, the consumption time will also increase until it causes the application to hang or slow down. There was a merged fix but further testing shows the issue persists. This issue should be mitigated by using a safe pattern that won't start backtracking the regular expression due to greedy matching. This issue was fixed in version 4.0.8.

msrc логотип

CVE-2024-4067

msrc
около 1 года назад

Описание отсутствует

debian логотип

CVE-2024-4067

CVSS3: 5.3
debian
около 1 года назад

The NPM package `micromatch` prior to 4.0.8 is vulnerable to Regular E ...

EPSS

Процентиль: 50%
0.00266
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2