Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

redhat логотип

CVE-2020-8172

Опубликовано: 02 июн. 2020
Источник: redhat
CVSS3: 7.4

Описание

TLS session reuse can lead to host certificate verification bypass in node version < 12.18.0 and < 14.4.0.

A TLS Hostname verification bypass vulnerability exists in NodeJS. This flaw allows an attacker to bypass TLS Hostname verification when a TLS client reuses HTTPS sessions.

Отчет

This issue only affects the TLS 1.2 protocol, not TLS 1.3. This issue does not affect NodeJS 10. Red Hat Quay installed NodeJS as a dependency of Yarn. It does not use NodeJS at runtime, but executes Javascript on the client's browser instead. Therefore the impact of this vulnerability on Red Hat Quay is low.

Затронутые пакеты

ПлатформаПакетСостояниеРекомендацияРелиз
Red Hat Enterprise Linux 8nodejs:10/nodejsNot affected
Red Hat Enterprise Linux 8nodejs:14/nodejsNot affected
Red Hat Quay 3nodejsFix deferred
Red Hat Software Collectionsrh-nodejs10-nodejsNot affected
Red Hat Enterprise Linux 8nodejsFixedRHSA-2020:285207.07.2020
Red Hat Enterprise Linux 8.1 Extended Update SupportnodejsFixedRHSA-2020:284707.07.2020
Red Hat Software Collections for Red Hat Enterprise Linux 7rh-nodejs12-nodejsFixedRHSA-2020:289513.07.2020
Red Hat Software Collections for Red Hat Enterprise Linux 7.6 EUSrh-nodejs12-nodejsFixedRHSA-2020:289513.07.2020
Red Hat Software Collections for Red Hat Enterprise Linux 7.7 EUSrh-nodejs12-nodejsFixedRHSA-2020:289513.07.2020

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Moderate
Дефект:
CWE-285
https://bugzilla.redhat.com/show_bug.cgi?id=1845247nodejs: TLS session reuse can lead to hostname verification bypass

7.4 High

CVSS3

Связанные уязвимости

ubuntu логотип

CVE-2020-8172

CVSS3: 7.4
ubuntu
больше 5 лет назад

TLS session reuse can lead to host certificate verification bypass in node version < 12.18.0 and < 14.4.0.

nvd логотип

CVE-2020-8172

CVSS3: 7.4
nvd
больше 5 лет назад

TLS session reuse can lead to host certificate verification bypass in node version < 12.18.0 and < 14.4.0.

debian логотип

CVE-2020-8172

CVSS3: 7.4
debian
больше 5 лет назад

TLS session reuse can lead to host certificate verification bypass in ...

github логотип

GHSA-98vx-jqrx-7mq2

CVSS3: 7.4
github
больше 3 лет назад

TLS session reuse can lead to host certificate verification bypass in node version < 12.18.0 and < 14.4.0.

fstec логотип

BDU:2020-03621

CVSS3: 7.4
fstec
больше 5 лет назад

Уязвимость реализации протокола TLS программной платформы Node.js, позволяющая нарушителю реализовать атаку типа «человек посередине»

7.4 High

CVSS3