ГлавнаяБаза уязвимостей БДУ → BDU:2021-01895
5.1высокая

BDU:2021-01895 (CVE-2021-22884)

Уязвимость программной платформы Node.js, связанная с присутствием localhost6 в белом списке, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Опубликовано: 2021-04-06
Описание

Уязвимость программной платформы Node.js связана с присутствием localhost6 в белом списке. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Fedora (32)Red Hat Enterprise Linux (8.1 Extended Update Support)Fedora (33)Fedora (34)Node.js (от 10.0.0 до 10.24.0)Node.js (от 12.0.0 до 12.21.0)Node.js (от 14.0.0 до 14.16.0)Node.js (от 15.0.0 до 15.10.0)Альт 8 СПОСОН ОСнова Оnyx (до 2.4.3)Astra Linux Common Edition (1.6 «Смоленск»)
Способ устранения

Использование рекомендаций:
Для Node.js:
Обновление программного обеспечения до 12.21.0~dfsg-3 или более поздней версии

Для Debian:
Обновление программного обеспечения (пакета nodejs) до 10.24.0~dfsg-1~deb10u1 или более поздней версии

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/E4FRS5ZVK4ZQ7XIJQNGIKUXG2DJFHLO7/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/F45Y7TXSU33MTKB6AGL2Q5V5ZOCNPKOG/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/HSYFUGKFUSZ27M5TEZ3FKILWTWFJTFAZ/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2021-22884

Для ОСОН Основа:
Обновление программного обеспечения nodejs до версии 10.24.0~dfsg-1~deb10u1.osnova4

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОС Astra Linux:
обновить пакет nodejs до 8.11.1~dfsg-2.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16

Оценка CVSS
Балл5.1 — высокая опасность
Источники и патчи
https://access.redhat.com/security/cve/CVE-2021-22884https://hackerone.com/reports/1069487https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/E4FRS5ZVK4ZQ7XIJQNGIKUXG2DJFHLO7/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/F45Y7TXSU33MTKB6AGL2Q5V5ZOCNPKOG/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/HSYFUGKFUSZ27M5TEZ3FKILWTWFJTFAZ/https://nodejs.org/en/blog/vulnerability/february-2021-security-releases/https://nvd.nist.gov/vuln/detail/CVE-2021-22884https://security-tracker.debian.org/tracker/CVE-2021-22884
Проверьте безопасность своего сайта и почты → Полная проверка домена