ГлавнаяБаза уязвимостей БДУ → BDU:2024-09418
7.8высокая

BDU:2024-09418 (CVE-2024-28863)

Уязвимость модуля node-tar библиотеки Node.js, позволяющая нарушителю вызвать отказ в обслуживании
Опубликовано: 2024-11-14
Описание

Уязвимость модуля node-tar библиотеки Node.js связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (8)Ubuntu (20.04 LTS)Red Hat Integration Camel KDebian GNU/Linux (11)Debian GNU/Linux (12)РЕД ОС (7.3)Red Hat Satellite (6)Red Hat Openshift Container Storage (4)Ubuntu (22.04 LTS)Red Hat Enterprise Linux (9)Red Hat OpenShift Data Science (RHODS)Cryostat (2)Red Hat OpenShift Dev SpacesOpenShift PipelinesRed Hat Advanced Cluster Security (4)Red Hat Developer Hubnode-tar (до 6.2.1 включительно)Migration Toolkit for Containers (1.8)
Способ устранения

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:
Для Node-tar:
https://github.com/isaacs/node-tar/security/advisories/GHSA-f5x3-32g6-xq36

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-28863

Для Ubuntu:
https://ubuntu.com/security/CVE-2024-28863

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2024-28863

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://github.com/isaacs/node-tar/commit/fe8cd57da5686f8695415414bda49206a545f7f7https://github.com/isaacs/node-tar/security/advisories/GHSA-f5x3-32g6-xq36https://redos.red-soft.ru/support/secure/https://access.redhat.com/security/cve/CVE-2024-28863https://security-tracker.debian.org/tracker/CVE-2024-28863https://ubuntu.com/security/CVE-2024-28863
Проверьте безопасность своего сайта и почты → Полная проверка домена