ГлавнаяБаза уязвимостей БДУ → BDU:2019-02939
7.8высокая

BDU:2019-02939 (CVE-2018-12116)

Уязвимость парсера URL-адресов библиотеки Node.js, позволяющая нарушителю получить несанкционированный доступ к защищаемым данным
Опубликовано: 2019-08-20
Описание

Уязвимость парсера URL-адресов Node.js связана с ошибками при обработке HTTP-пакетов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемым данным с помощью HTTP-запросов

Затрагиваемое ПО и версии
OpenSUSE Leap (42.3)SUSE Enterprise Storage (4)SUSE OpenStack Cloud (7)SUSE Linux Enterprise Module for Web Scripting (12)OpenSUSE Leap (15.0)Node.js (от 6 до 6.15.0)Node.js (от 8 до 8.14.0)SUSE Linux Enterprise Module for Web Scripting (15)SUSE Linux Enterprise Module for Web Scripting (15 SP1)SUSE OpenStack Cloud (Crowbar 8)OpenShift Container Platform (от 3.6 до 3.10)Astra Linux Common Edition (1.6 «Смоленск»)
Способ устранения

Использование рекомендаций:
Для программных продуктов Node.js Foundation:
https://nodejs.org/en/blog/vulnerability/november-2018-security-releases/
https://github.com/nodejs/node/commit/513e9747a22386bc9c93a12f9698561827a1e631

Для программных продуктов Novell Inc.:
https://www.suse.com/pt-br/security/cve/CVE-2018-12116/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2018-12116

Для ОС Astra Linux:
обновить пакет nodejs до 8.11.1~dfsg-2.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://access.redhat.com/errata/RHSA-2019:1821https://nodejs.org/en/blog/vulnerability/november-2018-security-releases/https://github.com/nodejs/node/commit/513e9747a22386bc9c93a12f9698561827a1e631https://www.suse.com/pt-br/security/cve/CVE-2018-12116/https://access.redhat.com/security/cve/cve-2018-12116https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16
Проверьте безопасность своего сайта и почты → Полная проверка домена