ГлавнаяБаза уязвимостей БДУ → BDU:2024-01672
10критическая

BDU:2024-01672 (CVE-2024-21892)

Уязвимость программной платформы Node.js, связанная с неверным управлением генерацией кода, позволяющая нарушителю выполнить произвольный код с повышенными привилегиями
Опубликовано: 2024-02-29
Описание

Уязвимость программной платформы Node.js связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код с повышенными привилегиями при обработке исключения CAP_NET_BIND_SERVICE

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8)Red Hat Enterprise Linux (9)Node.js (от 18.0 до 18.19.1)Node.js (от 20.0 до 20.11.1)Node.js (от 21.0 до 21.6.2)ОСОН ОСнова Оnyx (до 3.1)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование антивирусного программного обеспечения для отслеживания средств эксплуатации уязвимости;
- отключение/удаление неиспользуемых учётных записей пользователей;
- минимизация пользовательских привилегий.

Использование рекомендаций производителя:
Для Node.js:
https://nodejs.org/en/blog/release/v20.11.1
https://nodejs.org/en/blog/vulnerability/february-2024-security-releases/#code-injection-and-privilege-escalation-through-linux-capabilities-cve-2024-21892---high

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2024-21892

Для ОСОН ОСнова Оnyx: Обновление программного обеспечения nodejs до версии 18.20.4+dfsg-1~deb12u1.osnova3u1

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://nodejs.org/en/blog/release/v20.11.1https://nodejs.org/en/blog/vulnerability/february-2024-security-releases/#code-injection-and-privilege-escalation-through-linux-capabilities-cve-2024-21892---highhttps://access.redhat.com/security/cve/cve-2024-21892https://bugzilla.redhat.com/show_bug.cgi?id=2264582https://github.com/nodejs/node/commit/e6b4c105e0795fba8afb3f8e910c56ba9e60f4b5https://github.com/nodejs/node/commit/10ecf400679e04eddab940721cad3f6c1d603b61https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/3.1/
Проверьте безопасность своего сайта и почты → Полная проверка домена