ГлавнаяБаза уязвимостей БДУ → BDU:2021-01025
6.4средняя

BDU:2021-01025 (CVE-2020-8287)

Уязвимость программной платформы Node.js, позволяющая нарушителю оказать воздействие на конфиденциальность и целостность защищаемой информации
Опубликовано: 2021-03-02
Описание

Уязвимость программной платформы Node.js связана с непоследовательной интерпретацией HTTP-запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность и целостность защищаемой информации

Затрагиваемое ПО и версии
OpenSUSE Leap (15.1)Debian GNU/Linux (10)OpenSUSE Leap (15.2)Fedora (33)GraalVM Enterprise Edition (19.3.4)GraalVM Enterprise Edition (20.3.0)Node.js (до 10.23.1)Node.js (до 12.20.1)Node.js (до 14.15.4)Node.js (до 15.5.1)Astra Linux Special Edition (1.7)Альт 8 СПHitachi Energy Gateway Station (GWS) (до 3.2.0.0)FACTS Control Platform (FCP) (до 3.12.0 включительно)FACTS Control Platform (FCP) (до 2.3.0 включительно)FACTS Control Platform (FCP) (до 1.3.0 включительно)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.4.3)ОСОН ОСнова Оnyx (до 2.6)ОСОН ОСнова Оnyx (до 2.7)Astra Linux Common Edition (1.6 «Смоленск»)
Способ устранения

Использование рекомендаций:
Обновление программной платформы Node.js до актуальной версии

Для Debian GNU/Linux:
https://www.debian.org/security/2021/dsa-4826

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2020-8287/

Для программных продуктов Hitachi Energy:
https://www.cisa.gov/uscert/ics/advisories/icsa-22-242-02
https://www.cisa.gov/uscert/ics/advisories/icsa-22-242-01

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpujan2021.html

Для ОСОН Основа:
Обновление программного обеспечения nodejs до версии 10.24.0~dfsg-1~deb10u1.osnova4

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения http-parser до версии 2.9.4-4+deb11u1

Для ОСОН ОСнова Оnyx (версия 2.7):
Обновление программного обеспечения http-parser2.8 до версии 2.8.1-1+deb10u3onyx1

Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD

Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОС Astra Linux:
- обновить пакет http-parser до 2.8.1-1+deb10u3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16
- обновить пакет nodejs до 8.11.1~dfsg-2.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16

Оценка CVSS
Балл6.4 — средняя опасность
Источники и патчи
https://www.oracle.com/security-alerts/cpujan2021.htmlhttps://nvd.nist.gov/vuln/detail/CVE-2020-8287https://www.suse.com/security/cve/CVE-2020-8287/https://www.cisa.gov/uscert/ics/advisories/icsa-22-242-02https://www.cisa.gov/uscert/ics/advisories/icsa-22-242-01https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.4.3/https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.6/https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.7/
Проверьте безопасность своего сайта и почты → Полная проверка домена