ГлавнаяБаза уязвимостей БДУ → BDU:2024-02689
5средняя

BDU:2024-02689 (CVE-2024-27983)

Уязвимость функции node::http2::Http2Session::~Http2Session() HTTP/2-сервера программной платформы Node.js, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2024-04-06
Описание

Уязвимость функции node::http2::Http2Session::~Http2Session() HTTP/2-сервера программной платформы Node.js связана с неконтролируемым расходом ресурсов в результате некорректного определения окончания заголовка при обработке фреймов CONTINUATION. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (10)Debian GNU/Linux (11)Debian GNU/Linux (12)Node.js (до 21.7.2)Node.js (до 20.12.1)Node.js (до 18.20.1)ОСОН ОСнова Оnyx (до 3.1)
Способ устранения

Использование рекомендаций:
Для Node.js:
https://nodejs.org/en/blog/vulnerability/april-2024-security-releases/
https://nodejs.org/en/download

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-27983

Компенсирующие меры:
- использование систем обнаружения и предотвращения вторжений, позволяющих предотвратить реализацию атаки CONTINUATION Floud;
- ограничить использование протокола HTTP/2 (перейти на HTTP /1.1).

Для ОСОН ОСнова Оnyx: Обновление программного обеспечения nodejs до версии 18.20.4+dfsg-1~deb12u1.osnova3u1

Оценка CVSS
Балл5 — средняя опасность
Источники и патчи
https://security-tracker.debian.org/tracker/CVE-2024-27983https://nodejs.org/en/blog/vulnerability/april-2024-security-releases/https://www.cnews.ru/news/top/2024-04-05_v_protokole_https2_vyyavlenahttps://github.com/lirantal/CVE-2024-27983-nodejs-http2https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/3.1/
Проверьте безопасность своего сайта и почты → Полная проверка домена