ГлавнаяБаза уязвимостей БДУ → BDU:2023-07356
4средняя

BDU:2023-07356 (CVE-2023-45143)

Уязвимость клиента HTTP/1.1 undici программной платформы Node.js, позволяющая нарушителю раскрыть защищаемую информацию
Опубликовано: 2023-11-01
Описание

Уязвимость клиента HTTP/1.1 undici программной платформы Node.js связана с недостаточной защитой служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, раскрыть защищаемую информацию

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8)Red Hat Software CollectionsDebian GNU/Linux (12)РЕД ОС (7.3)Red Hat Enterprise Linux (9)Fedora (37)Fedora (38)OpenShift ServerlessOpenShift Dev SpacesNode.js (до 5.26.2)
Способ устранения

Использование рекомендаций:
Для Node.js:
https://github.com/nodejs/undici/security/advisories/GHSA-wqq4-5wpv-mx2g
https://github.com/nodejs/undici/security/advisories/GHSA-q768-x9m6-m9qp
https://github.com/nodejs/undici/commit/e041de359221ebeae04c469e8aff4145764e6d76

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-45143

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2023-45143

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/E72T67UPDRXHIDLO3OROR25YAMN4GGW5/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/FNA62Q767CFAFHBCDKYNPBMZWB7TWYVU/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/LKYHSZQFDNR7RSA7LHVLLIAQMVYCUGBG/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/X6QXN4ORIVF6XBW4WWFE7VNPVC74S45Y/

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Оценка CVSS
Балл4 — средняя опасность
Источники и патчи
https://github.com/nodejs/undici/security/advisories/GHSA-wqq4-5wpv-mx2ghttps://github.com/nodejs/undici/security/advisories/GHSA-q768-x9m6-m9qphttps://github.com/nodejs/undici/commit/e041de359221ebeae04c469e8aff4145764e6d76https://security-tracker.debian.org/tracker/CVE-2023-45143https://access.redhat.com/security/cve/cve-2023-45143https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/E72T67UPDRXHIDLO3OROR25YAMN4GGW5/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/FNA62Q767CFAFHBCDKYNPBMZWB7TWYVU/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/LKYHSZQFDNR7RSA7LHVLLIAQMVYCUGBG/
Проверьте безопасность своего сайта и почты → Полная проверка домена