ГлавнаяБаза уязвимостей БДУ → BDU:2024-03125
6.4средняя

BDU:2024-03125 (CVE-2024-27982)

Уязвимость программной платформы Node.js, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling)
Опубликовано: 2024-04-22
Описание

Уязвимость программной платформы Node.js связана с недостатками обработки HTTP-запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, отправить скрытый HTTP-запрос (атака типа HTTP Request Smuggling)

Затрагиваемое ПО и версии
SUSE Linux Enterprise Server for SAP Applications (12 SP3)SUSE Linux Enterprise Server for SAP Applications (12 SP4)OpenSUSE Leap (15.5)Suse Linux Enterprise Server (12 SP3)Suse Linux Enterprise Server (12 SP4)SUSE Linux Enterprise High Performance Computing (12)SUSE Linux Enterprise Module for Web Scripting (12)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP5)Debian GNU/Linux (10)SUSE Linux Enterprise Server for SAP Applications (12)openSUSE TumbleweedDebian GNU/Linux (11)Debian GNU/Linux (12)Suse Linux Enterprise Server (12)РЕД ОС (7.3)Suse Linux Enterprise Server (15 SP3)Suse Linux Enterprise Server (15 SP4)SUSE Manager Server (4.3)SUSE Enterprise Storage (7.1)Suse Linux Enterprise Server (15 SP3-LTSS)SUSE Linux Enterprise High Performance Computing (15 SP3-LTSS)SUSE Linux Enterprise Server for SAP Applications (15 SP5)Suse Linux Enterprise Server (15 SP5)SUSE Linux Enterprise High Performance Computing (15 SP5)SUSE Linux Enterprise Module for Web Scripting (15 SP5)SUSE Linux Enterprise High Performance Computing (15 SP4-ESPOS)SUSE Linux Enterprise High Performance Computing (15 SP4-LTSS)Suse Linux Enterprise Server (15 SP4-LTSS)Node.js (до 20.12.1)
Способ устранения

Использование рекомендаций:
Для Node.js:
https://nodejs.org/en/blog/vulnerability/april-2024-security-releases

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-27982

Для продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2024-27982.html

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС Astra Linux:
обновить пакет nodejs до 18.19.0+dfsg-6~deb12u1+ci2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0114SE18MD

Для ОСОН ОСнова Оnyx: Обновление программного обеспечения nodejs до версии 18.20.4+dfsg-1~deb12u1.osnova3u1

Оценка CVSS
Балл6.4 — средняя опасность
Источники и патчи
https://nodejs.org/en/blog/release/v20.12.1https://www.suse.com/security/cve/CVE-2024-27982.htmlhttp://nodejs.org/en/blog/vulnerability/april-2024-security-releaseshttp://github.com/nodejs/node/releases/tag/v21.7.2http://github.com/nodejs/node/releases/tag/v20.12.1http://github.com/nodejs/node/releases/tag/v18.20.1https://github.com/nodejs/llhttphttps://security-tracker.debian.org/tracker/CVE-2024-27982
Проверьте безопасность своего сайта и почты → Полная проверка домена