ГлавнаяБаза уязвимостей БДУ → BDU:2024-01534
10критическая

BDU:2024-01534 (CVE-2021-44906)

Уязвимость функции setKey() библиотеки для разбора аргументов командной строки minimist, позволяющая нарушителю реализовать атаку типа "загрязнение прототипа"
Опубликовано: 2024-02-25
Описание

Уязвимость функции setKey() библиотеки для разбора аргументов командной строки minimist связана с неконтролируемым изменением атрибутов прототипа объекта. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, реализовать атаку типа "загрязнение прототипа"

Затрагиваемое ПО и версии
SUSE Linux Enterprise Server for SAP Applications (12 SP3)SUSE Linux Enterprise Server for SAP Applications (12 SP4)Suse Linux Enterprise Server (12 SP3)Suse Linux Enterprise Server (12 SP4)SUSE Linux Enterprise High Performance Computing (12)SUSE Linux Enterprise Module for Web Scripting (12)Red Hat Enterprise Linux (8)Red Hat JBoss Fuse (7)SUSE Linux Enterprise Server for SAP Applications (15)SUSE Linux Enterprise Server for SAP Applications (15 SP1)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP5)Debian GNU/Linux (10)SUSE Enterprise Storage (6)Red Hat Single Sign-On (7)SUSE Linux Enterprise High Performance Computing (15-ESPOS)SUSE Linux Enterprise High Performance Computing (15-LTSS)Suse Linux Enterprise Server (15-LTSS)SUSE Linux Enterprise Server for SAP Applications (12)Red Hat Quay (3)Red Hat Process Automation (7)SUSE CaaS Platform (4.0)Suse Linux Enterprise Server (15 SP1-BCL)Suse Linux Enterprise Server (15 SP1-LTSS)SUSE Linux Enterprise High Performance Computing (15 SP1-LTSS)SUSE Linux Enterprise High Performance Computing (15 SP1-ESPOS)Red Hat 3scale API Management Platform (2)OpenSUSE Leap (15.3)Debian GNU/Linux (11)Debian GNU/Linux (12)
Способ устранения

Использование рекомендаций:
Для minimist:
Обновление программного обеспечения до версии 1.2.6 и выше

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-44906

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2021-44906

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2021-44906.html

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения node-minimist до версии 1.2.0-1+deb10u2

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-http-servera-apache-cve-2021-44790-cve-2021-44224/

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2021-44906https://security-tracker.debian.org/tracker/CVE-2021-44906https://ubuntu.com/security/CVE-2021-44906https://www.suse.com/security/cve/CVE-2021-44906.htmlhttps://access.redhat.com/security/cve/CVE-2022-4245https://snyk.io/vuln/SNYK-JS-MINIMIST-559764https://github.com/substack/minimist/issues/164https://github.com/Marynk/JavaScript-vulnerability-detection/blob/main/minimist%20PoC.zip
Проверьте безопасность своего сайта и почты → Полная проверка домена