ГлавнаяБаза уязвимостей БДУ → BDU:2024-08734
6.4средняя

BDU:2024-08734 (CVE-2023-23936)

Уязвимость метода undici.request клиента HTTP/1.1 Undici программной платформы Node.js, позволяющая нарушителю внедрить произвольные HTTP-заголовки
Опубликовано: 2024-10-29
Описание

Уязвимость метода undici.request клиента HTTP/1.1 Undici программной платформы Node.js связана с непринятием мер по обработке последовательностей CRLF в HTTP-заголовках. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, внедрить произвольные HTTP-заголовки

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8)Debian GNU/Linux (12)Red Hat Enterprise Linux (9)Red Hat Enterprise Linux (9.0 Extended Update Support)Node.js (от 16.0.0 до 16.19.1)Node.js (от 18.0.0 до 18.14.1)Node.js (от 19.0.0 до 19.6.1)Undici (от 2.0.0 до 5.19.1)
Способ устранения

Использование рекомендаций:
Для Undici:
https://github.com/nodejs/undici/commit/a2eff05401358f6595138df963837c24348f2034
https://github.com/nodejs/undici/releases/tag/v5.19.1

Для Node.js:
https://nodejs.org/en/blog/vulnerability/february-2023-security-releases/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2023-23936

Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-23936

Компенсирующие меры:
При невозможности установки обновлений рекомендуется очистить строку headers.host перед передачей в Undici.

Оценка CVSS
Балл6.4 — средняя опасность
Источники и патчи
https://github.com/nodejs/undici/commit/a2eff05401358f6595138df963837c24348f2034https://github.com/nodejs/undici/releases/tag/v5.19.1https://github.com/nodejs/undici/security/advisories/GHSA-5r9g-qh6m-jxffhttps://hackerone.com/reports/1820955https://access.redhat.com/security/cve/CVE-2023-23936https://security-tracker.debian.org/tracker/CVE-2023-23936https://nodejs.org/en/blog/vulnerability/february-2023-security-releases/https://github.com/nodejs/undici/tree/main/docs
Проверьте безопасность своего сайта и почты → Полная проверка домена