10критическая
BDU:2024-01534 (CVE-2021-44906)
Уязвимость функции setKey() библиотеки для разбора аргументов командной строки minimist, позволяющая нарушителю реализовать атаку типа "загрязнение прототипа"
Опубликовано: 2024-02-25
Описание
Уязвимость функции setKey() библиотеки для разбора аргументов командной строки minimist связана с неконтролируемым изменением атрибутов прототипа объекта. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, реализовать атаку типа "загрязнение прототипа"
Затрагиваемое ПО и версии
SUSE Linux Enterprise Server for SAP Applications (12 SP3)SUSE Linux Enterprise Server for SAP Applications (12 SP4)Suse Linux Enterprise Server (12 SP3)Suse Linux Enterprise Server (12 SP4)SUSE Linux Enterprise High Performance Computing (12)SUSE Linux Enterprise Module for Web Scripting (12)Red Hat Enterprise Linux (8)Red Hat JBoss Fuse (7)SUSE Linux Enterprise Server for SAP Applications (15)SUSE Linux Enterprise Server for SAP Applications (15 SP1)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP5)Debian GNU/Linux (10)SUSE Enterprise Storage (6)Red Hat Single Sign-On (7)SUSE Linux Enterprise High Performance Computing (15-ESPOS)SUSE Linux Enterprise High Performance Computing (15-LTSS)Suse Linux Enterprise Server (15-LTSS)SUSE Linux Enterprise Server for SAP Applications (12)Red Hat Quay (3)Red Hat Process Automation (7)SUSE CaaS Platform (4.0)Suse Linux Enterprise Server (15 SP1-BCL)Suse Linux Enterprise Server (15 SP1-LTSS)SUSE Linux Enterprise High Performance Computing (15 SP1-LTSS)SUSE Linux Enterprise High Performance Computing (15 SP1-ESPOS)Red Hat 3scale API Management Platform (2)OpenSUSE Leap (15.3)Debian GNU/Linux (11)Debian GNU/Linux (12)
Способ устранения
Использование рекомендаций:
Для minimist:
Обновление программного обеспечения до версии 1.2.6 и выше
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-44906
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2021-44906
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2021-44906.html
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения node-minimist до версии 1.2.0-1+deb10u2
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-http-servera-apache-cve-2021-44790-cve-2021-44224/
Оценка CVSS
| Балл | 10 — критическая опасность |
Источники и патчи