ГлавнаяБаза уязвимостей БДУ → BDU:2022-02171
5средняя

BDU:2022-02171 (CVE-2021-22939)

Уязвимость компонента API https программной платформы Node.js, позволяющая нарушителю оказать воздействие на целостность данных
Опубликовано: 2022-04-13
Описание

Уязвимость компонента API https программной платформы Node.js связана с недостаточной проверкой значения rejectUnauthorized. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, оказать воздействие на целостность данных

Затрагиваемое ПО и версии
Debian GNU/Linux (9)PeopleSoft Enterprise PeopleTools (8.57)Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Red Hat Software CollectionsPeopleSoft Enterprise PeopleTools (8.58)Red Hat Enterprise Linux (8.1 Extended Update Support)Debian GNU/Linux (11)Astra Linux Special Edition (1.7)PeopleSoft Enterprise PeopleTools (8.59)Node.js (от 12.0.0 до 12.22.5)Node.js (от 14.0.0 до 14.17.5)Node.js (от 16.0.0 до 16.6.2)MySQL Cluster (до 8.0.26 включительно)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.9)
Способ устранения

Для Node.js:
использование рекомендаций производителя: https://nodejs.org/en/blog/vulnerability/aug-2021-security-releases/

Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-22939

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2021-22939

Для программных продуктов Oracle Corp.:
https://www.oracle.com/security-alerts/cpuoct2021.html
https://www.oracle.com/security-alerts/cpujan2022.html

Для ОС Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1221SE17MD

Для ОС Astra Linux Special Edition 4.7 для архитектуры ARM:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0131SE47MD

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения nodejs до версии 10.24.0~dfsg-1~deb10u3.osnova5

Оценка CVSS
Балл5 — средняя опасность
Источники и патчи
https://hackerone.com/reports/1278254https://nodejs.org/en/blog/vulnerability/aug-2021-security-releases/https://nvd.nist.gov/vuln/detail/CVE-2021-22939https://security-tracker.debian.org/tracker/CVE-2021-22939https://access.redhat.com/security/cve/CVE-2021-22939https://www.oracle.com/security-alerts/cpuoct2021.htmlhttps://www.oracle.com/security-alerts/cpujan2022.htmlhttps://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1221SE17MD
Проверьте безопасность своего сайта и почты → Полная проверка домена