Описание
Regular Expression Denial of Service in sshpk
Versions of sshpk before 1.13.2 or 1.14.1 are vulnerable to regular expression denial of service when parsing crafted invalid public keys.
Recommendation
Update to version 1.13.2, 1.14.1 or later.
Ссылки
- https://nvd.nist.gov/vuln/detail/CVE-2018-3737
- https://github.com/joyent/node-sshpk/commit/46065d38a5e6d1bccf86d3efb2fb83c14e3f9957
- https://hackerone.com/reports/319593
- https://github.com/advisories/GHSA-2m39-62fm-q8r3
- https://github.com/joyent/node-sshpk/blob/v1.13.1/lib/formats/ssh.js#L17
- https://www.npmjs.com/advisories/606
Пакеты
Наименование
sshpk
npm
Затронутые версииВерсия исправления
< 1.13.2
1.13.2
Связанные уязвимости
CVSS3: 7.5
ubuntu
около 7 лет назад
sshpk is vulnerable to ReDoS when parsing crafted invalid public keys.
CVSS3: 5.3
redhat
больше 7 лет назад
sshpk is vulnerable to ReDoS when parsing crafted invalid public keys.
CVSS3: 7.5
nvd
около 7 лет назад
sshpk is vulnerable to ReDoS when parsing crafted invalid public keys.
CVSS3: 7.5
debian
около 7 лет назад
sshpk is vulnerable to ReDoS when parsing crafted invalid public keys.
CVSS3: 7.5
fstec
больше 7 лет назад
Уязвимость библиотеки sshpk программной платформы Node.js, позволяющая нарушителю вызвать отказ в обслуживании