ГлавнаяБаза уязвимостей БДУ → BDU:2020-02545
10критическая

BDU:2020-02545

Уязвимость программной платформы Node.js, связанная с недостаточной проверкой вводимых данных при обработке заголовков HTTP, позволяющая нарушителю получить полный контроль над приложением
Опубликовано: 2020-06-02
Описание

Уязвимость программной платформы Node.js связана с недостаточной проверкой вводимых данных при обработке заголовков HTTP. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить полный контроль над приложением с помощью многочисленных сетевых протоколов

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8)OpenSUSE Leap (15.1)Debian GNU/Linux (10)Node.js (от 10.0.0 до 10.19.0)Node.js (от 12.0.0 до 12.15.0)Node.js (от 13.0.0 до 13.8.0)GraalVM Enterprise Edition (19.3.1)GraalVM Enterprise Edition (20.0.0)Альт 8 СП
Способ устранения

Использование рекомендаций:
Обновление для Node.js:
https://nodejs.org/en/blog/release/v10.19.0/
https://nodejs.org/en/blog/release/v12.15.0/
https://nodejs.org/en/blog/release/v13.8.0/
https://nodejs.org/en/blog/vulnerability/february-2020-security-releases/

Для OpenSUSE:
https://lists.opensuse.org/opensuse-security-announce/2020-03/msg00008.html

Для Oracle:
https://www.oracle.com/security-alerts/cpuapr2020.html

Для Debian GNU/Linux:
https://www.debian.org/security/2020/dsa-4669

Для Red Hat:
https://access.redhat.com/security/cve/CVE-2019-15606?extIdCarryOver=true&sc_cid=701f2000001OH7JAAW

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
http://lists.opensuse.org/opensuse-security-announce/2020-03/msg00008.htmlhttps://access.redhat.com/errata/RHSA-2020:0573https://access.redhat.com/errata/RHSA-2020:0579https://access.redhat.com/errata/RHSA-2020:0597https://access.redhat.com/errata/RHSA-2020:0598https://access.redhat.com/errata/RHSA-2020:0602https://hackerone.com/reports/730779https://nodejs.org/en/blog/release/v10.19.0/
Проверьте безопасность своего сайта и почты → Полная проверка домена