7.6высокая
BDU:2020-04460 (CVE-2020-8174)
Уязвимость функций napi_get_value_string_latin1(), napi_get_value_string_utf8(), napi_get_value_string_utf16() программной платформы Node.js, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2020-09-29
Описание
Уязвимость функций napi_get_value_string_latin1(), napi_get_value_string_utf8(), napi_get_value_string_utf16() программной платформы Node.js связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Затрагиваемое ПО и версии
Debian GNU/Linux (9)SUSE OpenStack Cloud (7)SUSE Linux Enterprise Module for Web Scripting (12)Red Hat Enterprise Linux (8)OpenSUSE Leap (15.1)SUSE Linux Enterprise Server for SAP Applications (15)SUSE Linux Enterprise Module for Web Scripting (15 SP1)SUSE OpenStack Cloud (Crowbar 8)Debian GNU/Linux (10)Red Hat Software CollectionsSUSE Linux Enterprise High Performance Computing (15-ESPOS)SUSE Linux Enterprise High Performance Computing (15-LTSS)Suse Linux Enterprise Server (15-LTSS)SUSE OpenStack Cloud (Crowbar 9)Red Hat Enterprise Linux (8.0 Update Services for SAP Solutions)Red Hat Enterprise Linux (8.1 Extended Update Support)Node.js (до 10.21.0)Node.js (от 12.0.0 до 12.18.0)Node.js (от 14.0.0 до 14.4.0)SUSE Linux Enterprise Module for Web Scripting (15 SP2)Financial Services Applications (14.3.0)Financial Services Applications (14.4.0)Astra Linux Common Edition (1.6 «Смоленск»)
Способ устранения
Использование рекомендаций:
Для Node.js:
Обновление программного обеспечения до актуальной версии
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2020-8174
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2020-8174/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-8174
Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2021.html
Для ОС Astra Linux:
обновить пакет nodejs до 8.11.1~dfsg-2.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16
Оценка CVSS
| Балл | 7.6 — высокая опасность |
Источники и патчи