ГлавнаяБаза уязвимостей БДУ → BDU:2020-03621
8.8высокая

BDU:2020-03621

Уязвимость реализации протокола TLS программной платформы Node.js, позволяющая нарушителю реализовать атаку типа «человек посередине»
Опубликовано: 2020-07-31
Описание

Уязвимость реализации протокола TLS программной платформы Node.js связана с недостатками подтверждения подлинности сертификата. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, реализовать атаку типа «человек посередине»

Затрагиваемое ПО и версии
Ubuntu (18.04 LTS)Red Hat Enterprise Linux (8.0)Ubuntu (19.10)Communications Network Charging and Control (6.0.1)Communications Network Charging and Control (от 12.0.0 до 12.0.3 включительно)SQLite (3.31.1)Sun ZFS Storage Appliance Kit (8.8)Financial Services Applications (14.3.0)Financial Services Applications (14.4.0)Hitachi Energy Gateway Station (GWS) (до 3.2.0.0)FACTS Control Platform (FCP) (до 3.12.0 включительно)FACTS Control Platform (FCP) (до 2.3.0 включительно)FACTS Control Platform (FCP) (до 1.3.0 включительно)
Способ устранения

Использование рекомендаций:
Для Node.js:
https://nodejs.org/en/blog/vulnerability/june-2020-security-releases/

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujul2020.html
https://www.oracle.com/security-alerts/cpujan2021.html

Для программных продуктов Hitachi Energy:
https://www.cisa.gov/uscert/ics/advisories/icsa-22-242-02
https://www.cisa.gov/uscert/ics/advisories/icsa-22-242-01

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-8172

Оценка CVSS
Балл8.8 — высокая опасность
Источники и патчи
https://hackerone.com/reports/811502https://nodejs.org/en/blog/vulnerability/june-2020-security-releases/https://security.netapp.com/advisory/ntap-20200625-0002/https://www.oracle.com/security-alerts/cpujul2020.htmlhttps://www.oracle.com/security-alerts/cpujan2021.htmlhttps://www.cisa.gov/uscert/ics/advisories/icsa-22-242-02https://www.cisa.gov/uscert/ics/advisories/icsa-22-242-01
Проверьте безопасность своего сайта и почты → Полная проверка домена