ГлавнаяБаза уязвимостей БДУ → BDU:2023-02655
4.6средняя

BDU:2023-02655 (CVE-2023-23920)

Уязвимость программной платформы Node.js, связанная с использованием ненадёжного пути поиска, позволяющая нарушителю повысить свои привилегии
Опубликовано: 2023-05-17
Описание

Уязвимость программной платформы Node.js связана с использованием ненадёжного пути поиска. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии

Затрагиваемое ПО и версии
SUSE Linux Enterprise Server for SAP Applications (12 SP3)SUSE Linux Enterprise Server for SAP Applications (12 SP4)Suse Linux Enterprise Server (12 SP3)Suse Linux Enterprise Server (12 SP4)Red Hat Enterprise Linux (8)SUSE Linux Enterprise Server for SAP Applications (15 SP1)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP5)Debian GNU/Linux (10)Red Hat Software CollectionsSUSE Linux Enterprise Server for SAP Applications (12)Suse Linux Enterprise Server (15 SP1-BCL)Suse Linux Enterprise Server (15 SP1-LTSS)Red Hat 3scale API Management Platform (2)Debian GNU/Linux (11)Suse Linux Enterprise Server (12)Red Hat Enterprise Linux (8.4 Extended Update Support)РЕД ОС (7.3)Astra Linux Special Edition (1.7)OpenSUSE Leap (15.4)Suse Linux Enterprise Server (15 SP3)SUSE Linux Enterprise Server for SAP Applications (15 SP3)Suse Linux Enterprise Server (15 SP2)SUSE Linux Enterprise Server for SAP Applications (15 SP2)Suse Linux Enterprise Server (15 SP4)Suse Linux Enterprise Server (15)Suse Linux Enterprise Server (15 SP2-BCL)SUSE Linux Enterprise Server for SAP Applications (15 SP4)Red Hat Enterprise Linux (9)Suse Linux Enterprise Server (15 SP2-LTSS)
Способ устранения

Использование рекомендаций:

Для Node.js:

https://nodejs.org/en/blog/vulnerability/february-2023-security-releases/

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-23920

Для программных продуктов Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-23920

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2023-23920.html

Для программных продуктов Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BNITPABYXNDYLV22PNUH7MDW4QQZ665K/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/VPOJRV5BEXFABHXM6TMDDG3IK4TK2HT7/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/FCZGMVMOQF3IIYLXRDAMUGEYRFMODSFO/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/HGAP3HF35PBVVAEUHUFTLYYO2HGNWJLO/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/WGNBZL6LNUADB3YLMTFRZU5OKREK65IC/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/357Y2YWSNBYGQTIGXBE44REBOKU27PLK/

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения nodejs до версии 10.24.0~dfsg-1~deb10u3.osnova5

Для РЕД ОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Astra Linux Special Edition 1.7:
обновить пакет nodejs до 10.24.0~dfsg-1~deb10u3 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2023-0303SE17MD

Оценка CVSS
Балл4.6 — средняя опасность
Источники и патчи
https://github.com/nodejs/node/commit/f369c0a739b9f0182ededa834a2a44e6fec322d1https://nodejs.org/en/blog/vulnerability/february-2023-security-releases/https://access.redhat.com/security/cve/CVE-2023-23920https://security-tracker.debian.org/tracker/CVE-2023-23920https://lists.debian.org/debian-lts-announce/2023/02/msg00038.htmlhttps://www.suse.com/security/cve/CVE-2023-23920.htmlhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/BNITPABYXNDYLV22PNUH7MDW4QQZ665K/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/VPOJRV5BEXFABHXM6TMDDG3IK4TK2HT7/
Проверьте безопасность своего сайта и почты → Полная проверка домена