ГлавнаяБаза уязвимостей БДУ → BDU:2023-01956
10критическая

BDU:2023-01956 (CVE-2023-29017)

Уязвимость объекта Error.prepareStackTrace библиотеки vm2 пакетного менеджера NPM, позволяющая нарушителю выйти из изолированной программной среды и выполнить произвольный код
Опубликовано: 2023-04-11
Описание

Уязвимость объекта Error.prepareStackTrace библиотеки vm2 пакетного менеджера NPM связана с некорректной обработкой объектов в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выйти из изолированной программной среды и выполнить произвольный код

Затрагиваемое ПО и версии
Red Hat Advanced Cluster Management for Kubernetes (2)vm2 (до 3.9.15)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование антивирусного обеспечения для обнаружения средств эксплуатации уязвимости;
- использование систем обнаружения и предотвращения вторжений для отслеживания попыток эксплуатации уязвимости.

Использование рекомендаций:
Для vm2:
https://github.com/patriksimek/vm2/security/advisories/GHSA-7jxr-cg7f-gpgv

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-29017

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://access.redhat.com/security/cve/cve-2023-29017https://github.com/patriksimek/vm2/security/advisories/GHSA-7jxr-cg7f-gpgv
Проверьте безопасность своего сайта и почты → Полная проверка домена