Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

redhat логотип

CVE-2020-8172

Опубликовано: 02 июн. 2020
Источник: redhat
CVSS3: 7.4
EPSS Низкий

Описание

TLS session reuse can lead to host certificate verification bypass in node version < 12.18.0 and < 14.4.0.

A TLS Hostname verification bypass vulnerability exists in NodeJS. This flaw allows an attacker to bypass TLS Hostname verification when a TLS client reuses HTTPS sessions.

Отчет

This issue only affects the TLS 1.2 protocol, not TLS 1.3. This issue does not affect NodeJS 10. Red Hat Quay installed NodeJS as a dependency of Yarn. It does not use NodeJS at runtime, but executes Javascript on the client's browser instead. Therefore the impact of this vulnerability on Red Hat Quay is low.

Затронутые пакеты

ПлатформаПакетСостояниеРекомендацияРелиз
Red Hat Enterprise Linux 8nodejs:10/nodejsNot affected
Red Hat Enterprise Linux 8nodejs:14/nodejsNot affected
Red Hat Quay 3nodejsFix deferred
Red Hat Software Collectionsrh-nodejs10-nodejsNot affected
Red Hat Enterprise Linux 8nodejsFixedRHSA-2020:285207.07.2020
Red Hat Enterprise Linux 8.1 Extended Update SupportnodejsFixedRHSA-2020:284707.07.2020
Red Hat Software Collections for Red Hat Enterprise Linux 7rh-nodejs12-nodejsFixedRHSA-2020:289513.07.2020
Red Hat Software Collections for Red Hat Enterprise Linux 7.6 EUSrh-nodejs12-nodejsFixedRHSA-2020:289513.07.2020
Red Hat Software Collections for Red Hat Enterprise Linux 7.7 EUSrh-nodejs12-nodejsFixedRHSA-2020:289513.07.2020

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Moderate
Дефект:
CWE-285
https://bugzilla.redhat.com/show_bug.cgi?id=1845247nodejs: TLS session reuse can lead to hostname verification bypass

EPSS

Процентиль: 76%
0.01016
Низкий

7.4 High

CVSS3

Связанные уязвимости

ubuntu логотип

CVE-2020-8172

CVSS3: 7.4
ubuntu
около 5 лет назад

TLS session reuse can lead to host certificate verification bypass in node version < 12.18.0 and < 14.4.0.

nvd логотип

CVE-2020-8172

CVSS3: 7.4
nvd
около 5 лет назад

TLS session reuse can lead to host certificate verification bypass in node version < 12.18.0 and < 14.4.0.

debian логотип

CVE-2020-8172

CVSS3: 7.4
debian
около 5 лет назад

TLS session reuse can lead to host certificate verification bypass in ...

github логотип

GHSA-98vx-jqrx-7mq2

CVSS3: 7.4
github
около 3 лет назад

TLS session reuse can lead to host certificate verification bypass in node version < 12.18.0 and < 14.4.0.

fstec логотип

BDU:2020-03621

CVSS3: 7.4
fstec
больше 5 лет назад

Уязвимость реализации протокола TLS программной платформы Node.js, позволяющая нарушителю реализовать атаку типа «человек посередине»

EPSS

Процентиль: 76%
0.01016
Низкий

7.4 High

CVSS3