ГлавнаяБаза уязвимостей БДУ → BDU:2024-02610
6.8средняя

BDU:2024-02610 (CVE-2024-28849)

Уязвимость модуля Node.js follow-redirects, связанная с недостаточной защитой служебных данных, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
Опубликовано: 2024-04-04
Описание

Уязвимость модуля Node.js follow-redirects связана с недостаточной защитой служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации

Затрагиваемое ПО и версии
SUSE Linux Enterprise Server for SAP Applications (12 SP3)SUSE Linux Enterprise Server for SAP Applications (12 SP4)Suse Linux Enterprise Server (12 SP3)Suse Linux Enterprise Server (12 SP4)SUSE Linux Enterprise Server for SAP Applications (15)SUSE Linux Enterprise Server for SAP Applications (15 SP1)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP5)Debian GNU/Linux (10)Suse Linux Enterprise Server (15-LTSS)SUSE Linux Enterprise Server for SAP Applications (12)Suse Linux Enterprise Server (15 SP1-BCL)Suse Linux Enterprise Server (15 SP1-LTSS)Suse Linux Enterprise Server (15 SP1)Debian GNU/Linux (11)Debian GNU/Linux (12)Suse Linux Enterprise Server (12)Suse Linux Enterprise Server (15 SP3)SUSE Linux Enterprise Server for SAP Applications (15 SP3)Suse Linux Enterprise Server (15 SP2)SUSE Linux Enterprise Server for SAP Applications (15 SP2)Red Hat Advanced Cluster Management for Kubernetes (2)Suse Linux Enterprise Server (15 SP4)Suse Linux Enterprise Server (15)Suse Linux Enterprise Server (15 SP2-BCL)Suse Linux Enterprise Server (15 SP2-LTSS)Suse Linux Enterprise Server (15 SP3-LTSS)Suse Linux Enterprise Server (15 SP3-BCL)Red Hat DiscoveryFedora (40)
Способ устранения

Использование рекомендаций:

Для follow-redirects:
обновление модуля до версии 1.15.6 и выше

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2024-28849.html

Для программных продуктов Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/VOIF4EPQUCKDBEVTGRQDZ3CGTYQHPO7Z/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-28849

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-28849

Оценка CVSS
Балл6.8 — средняя опасность
Источники и патчи
https://fetch.spec.whatwg.org/#authentication-entrieshttps://github.com/follow-redirects/follow-redirects/commit/c4f847f85176991f95ab9c88af63b1294de8649bhttps://github.com/follow-redirects/follow-redirects/security/advisories/GHSA-cxjh-pqwp-8mfphttps://github.com/psf/requests/issues/1885https://www.suse.com/security/cve/CVE-2024-28849.htmlhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/VOIF4EPQUCKDBEVTGRQDZ3CGTYQHPO7Z/https://security-tracker.debian.org/tracker/CVE-2024-28849https://access.redhat.com/security/cve/CVE-2024-28849
Проверьте безопасность своего сайта и почты → Полная проверка домена