ГлавнаяБаза уязвимостей БДУ → BDU:2024-02798
7.8высокая

BDU:2024-02798 (CVE-2024-22019)

Уязвимость HTTP-сервера программной платформы Node.js, позволяющая нарушителю обойти ограничения безопасности и вызвать отказ в обслуживании
Опубликовано: 2024-04-10
Описание

Уязвимость HTTP-сервера программной платформы Node.js связана с неконтролируемым расходом ресурсов в результате считывания неограниченного количества байтов из одного соединения при обработке HTTP-запросов с фрагментированной кодировкой. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, обойти ограничения безопасности и вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Debian GNU/Linux (11)РЕД ОС (7.3)Red Hat Openshift Data Foundation (4)Red Hat Enterprise Linux (9)Red Hat Enterprise Linux (9.0 Extended Update Support)Red Hat Enterprise Linux (9.2 Extended Update Support)Red Hat Software Collections for Red Hat Enterprise Linux (7)Node.js (от 18.0 до 18.19.1)Node.js (от 20.0 до 20.11.1)Node.js (от 21.0 до 21.6.2)ОСОН ОСнова Оnyx (до 3.1)
Способ устранения

Использование рекомендаций:
Для Node.js:
https://github.com/nodejs/node/releases/tag/v21.6.2
https://github.com/nodejs/node/releases/tag/v20.11.1
https://github.com/nodejs/node/releases/tag/v18.19.1
https://nodejs.org/en/blog/release/v18.19.1
https://nodejs.org/en/blog/release/v20.11.1
https://nodejs.org/en/blog/release/v21.6.2

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2024-22019

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-22019

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОСОН ОСнова Оnyx: Обновление программного обеспечения nodejs до версии 18.20.4+dfsg-1~deb12u1.osnova3u1

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://hackerone.com/reports/2233486https://security-tracker.debian.org/tracker/CVE-2024-22019https://access.redhat.com/security/cve/cve-2024-22019https://nodejs.org/en/blog/vulnerability/february-2024-security-releaseshttp://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/3.1/
Проверьте безопасность своего сайта и почты → Полная проверка домена