ГлавнаяБаза уязвимостей БДУ → BDU:2024-02819
5.4средняя

BDU:2024-02819 (CVE-2023-46809)

Уязвимость функции PrivateDecrypt() криптографической библиотеки программной платформы Node.js, позволяющая нарушителю реализовать атаку Блейхенбахера (Bleichenbacher) или атаку Марвина (Marvin)
Опубликовано: 2024-04-10
Описание

Уязвимость функции PrivateDecrypt() криптографической библиотеки программной платформы Node.js связана с использованием скрытых побочных каналов в результате расхождения во времени расшифровки действительных и недействительных зашифрованных текстов на основе стандарта криптографии PKCS#1 v1.5. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, реализовать атаку Блейхенбахера (Bleichenbacher) или атаку Марвина (Marvin)

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8)Debian GNU/Linux (10)Debian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Astra Linux Special Edition (1.7)Red Hat Enterprise Linux (9)Astra Linux Special Edition (4.7)Node.js (от 18.0 до 18.19.1)Node.js (от 20.0 до 20.11.1)Node.js (от 21.0 до 21.6.2)ОСОН ОСнова Оnyx (до 2.10.1)ОСОН ОСнова Оnyx (до 3.1)
Способ устранения

Использование рекомендаций:
Для Node.js:
https://github.com/nodejs/node/releases/tag/v21.6.2
https://github.com/nodejs/node/releases/tag/v20.11.1
https://github.com/nodejs/node/releases/tag/v18.19.1
https://nodejs.org/en/blog/release/v18.19.1
https://nodejs.org/en/blog/release/v20.11.1
https://nodejs.org/en/blog/release/v21.6.2
https://github.com/nodejs/node/commit/d3d357ab096884f10f5d2f164149727eea875635
https://github.com/nodejs/node/commit/54cd268059626800dbe1e02a88b28d9538cf5587
https://github.com/nodejs/node/releases

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-46809

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-46809

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения nodejs до версии 10.24.0~dfsg-1~deb10u4.osnova6

Для ОС Astra Linux:
обновить пакет nodejs до 10.24.0~dfsg-1~deb10u4+ci202405301535+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17

Для РЕД ОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Astra Linux Special Edition 4.7 для архитектуры ARM:
обновить пакет nodejs до 10.24.0~dfsg-1~deb10u4+ci202405301535+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47

Для ОСОН ОСнова Оnyx: Обновление программного обеспечения nodejs до версии 18.20.4+dfsg-1~deb12u1.osnova3u1

Оценка CVSS
Балл5.4 — средняя опасность
Источники и патчи
https://access.redhat.com/security/cve/CVE-2023-46809https://security-tracker.debian.org/tracker/CVE-2023-46809https://nodejs.org/en/blog/vulnerability/february-2024-security-releaseshttps://www.hkcert.org/security-bulletin/node-js-multiple-vulnerabilities_20240215https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.10.1/https://wiki.astralinux.ru/astra-linux-se17-bulletin-2024-0830SE17http://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://wiki.astralinux.ru/astra-linux-se47-bulletin-2024-1031SE47
Проверьте безопасность своего сайта и почты → Полная проверка домена