ГлавнаяБаза уязвимостей БДУ → BDU:2024-07321
7.6высокая

BDU:2024-07321 (CVE-2022-32212)

Уязвимость функции IsIPAddress() программной платформы Node.js, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Опубликовано: 2024-09-23
Описание

Уязвимость функции IsIPAddress() программной платформы Node.js связана с отсутствием мер по очистке входных данных. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (10)Debian GNU/Linux (11)Debian GNU/Linux (12)Astra Linux Special Edition (1.7)Node.js (от 14.0.0 до 14.14.0 включительно)Node.js (от 14.15.0 до 14.20.1 включительно)Node.js (от 16.0.0 до 16.12.0 включительно)Astra Linux Common Edition (1.6 «Смоленск»)ОСОН ОСнова Оnyx (до 2.10.1)Node.js (от 16.13.0 до 16.17.1 включительно)Node.js (от 18.0.0 до 18.5.0 включительно)
Способ устранения

Для Node.js:
использование рекомендаций производителя: https://nodejs.org/en/blog/vulnerability/july-2022-security-releases/#dns-rebinding-in-inspect-via-invalid-ip-addresses-high-cve-2022-32212
Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2022-32212
Для ОС Astra Linux:
обновить пакет nodejs до 10.24.0~dfsg-1~deb10u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1221SE17MD

Для ОСОН ОСнова Оnyx: Обновление программного обеспечения nodejs до версии 10.24.0~dfsg-1~deb10u4.osnova6
Для ОСОН ОСнова Оnyx: Обновление программного обеспечения nodejs до версии 10.24.0~dfsg-1~deb10u3.osnova5

Для ОС Astra Linux:
обновить пакет nodejs до 8.11.1~dfsg-2.astra2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16

Оценка CVSS
Балл7.6 — высокая опасность
Источники и патчи
https://github.com/nodejs/node/commit/1aa5036c31ac2a9b2a2528af454675ad412f1464https://github.com/nodejs/node/commit/48c5aa5cab718d04473fa2761d532657c84b8131https://github.com/nodejs/node/commit/a1121b456c54b16d980881f821cd700c6a4ca537https://github.com/nodejs/node/commit/b358fb27a4253c6827378a64163448c04301e19chttps://nodejs.org/en/blog/vulnerability/july-2022-security-releases/#dns-rebinding-in-inspect-via-invalid-ip-addresses-high-cve-2022-32212https://nvd.nist.gov/vuln/detail/CVE-2022-32212https://security-tracker.debian.org/tracker/CVE-2022-32212https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1221SE17MD
Проверьте безопасность своего сайта и почты → Полная проверка домена