ГлавнаяБаза уязвимостей БДУ → BDU:2021-03700
6.4высокая

BDU:2021-03700 (CVE-2021-22918)

Уязвимость функции uv__idna_toascii() программной платформы Node.js, позволяющая нарушителю вызвать отказ в обслуживании или получить несанкционированный доступ к защищаемой информации
Опубликовано: 2021-07-20
Описание

Уязвимость функции uv__idna_toascii() программной платформы Node.js связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании или получить несанкционированный доступ к защищаемой информации

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)SUSE Linux Enterprise Server for SAP Applications (15)SUSE Linux Enterprise Server for SAP Applications (15 SP1)Debian GNU/Linux (10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)SUSE Linux Enterprise High Performance Computing (15-ESPOS)SUSE Linux Enterprise High Performance Computing (15-LTSS)Suse Linux Enterprise Server (15-LTSS)Suse Linux Enterprise Server (15 SP1-BCL)Suse Linux Enterprise Server (15 SP1-LTSS)SUSE Linux Enterprise High Performance Computing (15 SP1-LTSS)SUSE Linux Enterprise High Performance Computing (15 SP1-ESPOS)SUSE Manager Proxy (4.0)SUSE Manager Retail Branch Server (4.0)SUSE Manager Server (4.0)OpenSUSE Leap (15.3)Node.js (от 16.0.0 до 16.4.1)Node.js (от 14.0.0 до 14.17.2)Node.js (от 12.0.0 до 12.22.2)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.1)
Способ устранения

Использование рекомендаций:
Для Node.js:
https://nodejs.org/en/blog/vulnerability/july-2021-security-releases/

Для Debian:
https://security-tracker.debian.org/tracker/DSA-4936-1

Для продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2021-22918/

Для Astra Linux:
использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16

Для ОСОН Основа:
Обновление программного обеспечения libuv1 до версии 1.24.1-1+deb10u1

Для Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»:
обновить пакет libuv1 до 1.24.1-1+deb10u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se81-bulletin-20230315SE81

Для ОС Astra Linux 1.6 «Смоленск»:
обновить пакет libuv1 до 1.24.1-1+deb10u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20220829SE16

Оценка CVSS
Балл6.4 — высокая опасность
Источники и патчи
https://hackerone.com/reports/1209681https://nodejs.org/en/blog/vulnerability/july-2021-security-releases/https://nvd.nist.gov/vuln/detail/CVE-2021-22918https://github.com/nodejs/node/commit/d33aead28bcec32a2a450f884907a6d971631829https://security-tracker.debian.org/tracker/DSA-4936-1https://www.suse.com/security/cve/CVE-2021-22918/https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47
Проверьте безопасность своего сайта и почты → Полная проверка домена