ГлавнаяБаза уязвимостей БДУ → BDU:2022-06821
7.8высокая

BDU:2022-06821 (CVE-2022-43548)

Уязвимость реализации параметра --inspect программного средства работы с объектами Node.js, позволяющей нарушителю выполнить произвольный код
Опубликовано: 2022-11-17
Описание

Уязвимость реализации параметра --inspect программного средства работы с объектами Node.js связана с ошибками при преобразовании восьмеричного IP-адрес. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Затрагиваемое ПО и версии
SUSE Linux Enterprise Server for SAP Applications (12 SP3)SUSE Linux Enterprise Server for SAP Applications (12 SP4)Suse Linux Enterprise Server (12 SP3)Suse Linux Enterprise Server (12 SP4)SUSE Linux Enterprise Module for Web Scripting (12)Red Hat Enterprise Linux (8.0)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP5)Red Hat Software CollectionsSUSE Linux Enterprise Server for SAP Applications (12)openSUSE TumbleweedSUSE Linux Enterprise Module for High Performance Computing (12)Suse Linux Enterprise Server (12)Astra Linux Special Edition (1.7)Red Hat Enterprise Linux (9)Astra Linux Special Edition (4.7)Node.js (от 14.0.0 до 14.21.1)Node.js (от 16.0.0 до 16.18.1)Node.js (от 19.0.0 до 19.0.1)Node.js (от 18.0.0 до 18.12.1)Astra Linux Common Edition (1.6 «Смоленск»)ОСОН ОСнова Оnyx (до 2.9)
Способ устранения

Использование рекомендаций:
Для Node.js
https://nodejs.org/en/blog/vulnerability/november-2022-security-releases/#dns-rebinding-in-inspect-via-invalid-octal-ip-address-medium-cve-2022-43548

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2022-43548.html

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-43548

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-43548

Для Astra Linux Special Edition 1.7: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD

Для Astra Linux Special Edition для архитектуры ARM для 4.7: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2023-0316SE47MD

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения nodejs до версии 10.24.0~dfsg-1~deb10u3.osnova5

Для ОС Astra Linux:
обновить пакет nodejs до 8.11.1~dfsg-2.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://access.redhat.com/security/cve/cve-2022-43548https://bugzilla.redhat.com/show_bug.cgi?id=2140911https://www.suse.com/security/cve/CVE-2022-43548.htmlhttps://nodejs.org/en/blog/vulnerability/november-2022-security-releases/#dns-rebinding-in-inspect-via-invalid-octal-ip-address-medium-cve-2022-43548https://nodejs.org/en/blog/release/v18.12.1/https://nodejs.org/en/blog/release/v16.18.1/https://nodejs.org/en/blog/release/v19.0.1/https://ubuntu.com/security/CVE-2022-43548
Проверьте безопасность своего сайта и почты → Полная проверка домена