Rh-nodejs8-nodejs
Уязвимости
26
Эксплуатируемые
0
Макс. CVSS
8.8
Макс. EPSS
0.87806
Распределение по критичности
Критический
0
Высокий
13
Средний
13
Низкий
0
Также сопоставлено как (исходные строки): rh-nodejs8-nodejs
Топ уязвимостей
CVE-2018-20834Уязвимость обнаружена в node-tar до версии 4.4.2 (исключая версию 2.2.2). Существует проблема произвольной перезаписи файлов при извлечении tarball, содержащего жесткую ссылку на файл, который уже существует в системе, в сочетании с более поздним обычным файлом с тем же именем, что и жесткая ссылка. Этот обычный файл заменяет существующее содержимое файла. Патч был применен к node-tar v2.2.2).
CVE-2018-12115Во всех версиях Node.js до 6.14.4, 8.11.4 и 10.9.0 при использовании кодировки UCS-2 (распознаваемой Node.js под именами `'ucs2'`, `'ucs-2'`, `'utf16le'` и `'utf-16le'`), `Buffer#write()` можно использовать для записи за пределами одного `Buffer`. Записи, начинающиеся со предпоследней позиции буфера, вызывают неправильный расчет максимальной длины записываемых входных байтов.
CVE-2017-18869Проблема TOCTOU в пакете chownr до версии 1.1.0 для Node.js 10.10 может позволить локальному злоумышленнику обманом заставить его перейти в непредназначенные каталоги через атаки с использованием символических ссылок.
CVE-2019-9518Некоторые реализации HTTP/2 уязвимы для потока пустых кадров, что потенциально приводит к отказу в обслуживании. Злоумышленник отправляет поток кадров с пустой полезной нагрузкой и без флага конца потока. Эти кадры могут быть DATA, HEADERS, CONTINUATION и/или PUSH_PROMISE. Пир тратит время на обработку каждого кадра непропорционально полосе пропускания атаки. Это может потреблять избыточные ресурсы ЦП.
CVE-2019-9517Некоторые реализации HTTP/2 уязвимы для неограниченной внутренней буферизации данных, что потенциально приводит к отказу в обслуживании. Злоумышленник открывает окно HTTP/2, чтобы пир мог отправлять данные без ограничений; однако они оставляют окно TCP закрытым, чтобы пир не мог фактически записать (многие из) байты в провод. Затем злоумышленник отправляет поток запросов для большого объекта ответа. В зависимости от того, как серверы ставят в очередь ответы, это может потреблять избыточную память, ЦП или и то, и другое.
CVE-2019-9515Некоторые реализации HTTP/2 уязвимы для settings-флуда, что потенциально приводит к отказу в обслуживании. Злоумышленник отправляет поток кадров SETTINGS пиру. Поскольку RFC требует, чтобы пир отвечал одним подтверждением на каждый кадр SETTINGS, пустой кадр SETTINGS почти эквивалентен поведению пинга. В зависимости от того, насколько эффективно эти данные ставятся в очередь, это может потреблять избыточные ресурсы ЦП, памяти или и то, и другое.
CVE-2019-9514Некоторые реализации HTTP/2 уязвимы для reset-флуда, что потенциально приводит к отказу в обслуживании. Злоумышленник открывает несколько потоков и отправляет недействительный запрос по каждому потоку, который должен вызвать поток кадров RST_STREAM от пира. В зависимости от того, как пир ставит в очередь кадры RST_STREAM, это может потреблять избыточную память, ЦП или и то, и другое.
CVE-2019-9513Некоторые реализации HTTP/2 уязвимы для циклических ресурсов, что потенциально приводит к отказу в обслуживании. Злоумышленник создает несколько потоков запросов и постоянно перетасовывает приоритет потоков таким образом, что это вызывает существенные изменения в дереве приоритетов. Это может потреблять избыточные ресурсы ЦП.
CVE-2019-9512Некоторые реализации HTTP/2 уязвимы для ping-флуда, что потенциально приводит к отказу в обслуживании. Злоумышленник отправляет непрерывные пинги HTTP/2 пиру, заставляя пира создавать внутреннюю очередь ответов. В зависимости от того, насколько эффективно эти данные ставятся в очередь, это может потреблять избыточные ресурсы ЦП, памяти или и то, и другое.
CVE-2018-7167Вызов Buffer.fill() или Buffer.alloc() с некоторыми параметрами может привести к зависанию, что может привести к отказу в обслуживании. Чтобы устранить эту уязвимость, реализации Buffer.alloc() и Buffer.fill() были обновлены, чтобы они заполнялись нулями вместо зависания в этих случаях. Все версии Node.js 6.x (LTS "Boron"), 8.x (LTS "Carbon") и 9.x уязвимы. Все версии Node.js 10.x (Current) НЕ уязвимы.
CVE-2018-7161Все версии Node.js 8.x, 9.x и 10.x уязвимы, и серьезность ВЫСОКАЯ. Злоумышленник может вызвать отказ в обслуживании (DoS), вызвав сбой сервера node, предоставляющего сервер http2. Этого можно достичь, взаимодействуя с сервером http2 таким образом, чтобы вызвать ошибку очистки, когда объекты используются в собственном коде после того, как они больше не доступны. Это было решено путем обновления реализации http2.
CVE-2018-12121Node.js: Все версии до Node.js 6.15.0, 8.14.0, 10.14.0 и 11.3.0: Отказ в обслуживании с большими заголовками HTTP: Используя комбинацию множества запросов с заголовками максимального размера (почти 80 КБ на соединение) и тщательно рассчитанным временем завершения заголовков, можно вызвать прерывание HTTP-сервера из-за сбоя выделения кучи. Потенциал атаки снижается за счет использования балансировщика нагрузки или другого прокси-уровня.
CVE-2018-12116Node.js: Все версии до Node.js 6.15.0 и 8.14.0: Разделение HTTP-запросов: Если Node.js можно убедить использовать непроверенные пользовательские данные Unicode для параметра `path` HTTP-запроса, то можно предоставить данные, которые вызовут второй, неожиданный и определяемый пользователем HTTP-запрос к тому же серверу.
CVE-2019-9516Некоторые реализации HTTP/2 уязвимы для утечки заголовков, что потенциально приводит к отказу в обслуживании. Злоумышленник отправляет поток заголовков с именем заголовка нулевой длины и значением заголовка нулевой длины, необязательно закодированных по алгоритму Хаффмана в заголовки длиной 1 байт или больше. Некоторые реализации выделяют память для этих заголовков и сохраняют выделение активным до тех пор, пока сеанс не завершится. Это может потреблять избыточную память.
CVE-2019-9511Некоторые реализации HTTP/2 уязвимы для манипулирования размером окна и манипулирования приоритетами потоков, что потенциально приводит к отказу в обслуживании. Злоумышленник запрашивает большой объем данных из указанного ресурса по нескольким потокам. Они манипулируют размером окна и приоритетом потока, чтобы заставить сервер ставить данные в очередь блоками по 1 байту. В зависимости от того, насколько эффективно эти данные ставятся в очередь, это может потреблять избыточные ресурсы ЦП, памяти или и то, и другое.
CVE-2018-7160Инспектор Node.js в версиях 6.x и более поздних уязвим для атаки DNS rebinding, которая может быть использована для выполнения удаленного кода. Атака возможна с вредоносных веб-сайтов, открытых в веб-браузере на том же компьютере или на другом компьютере с сетевым доступом к компьютеру, на котором работает процесс Node.js. Вредоносный веб-сайт может использовать атаку DNS rebinding, чтобы обмануть веб-браузер, чтобы обойти проверки политики одного источника и разрешить HTTP-соединения с localhost или с хостами в локальной сети. Если процесс Node.js с активным портом отладки работает на localhost или на хосте в локальной сети, вредоносный веб-сайт может подключиться к нему в качестве отладчика и получить полный доступ к выполнению кода.
CVE-2019-5737В Node.js, включая 6.x до 6.17.0, 8.x до 8.15.1, 10.x до 10.15.2 и 11.x до 11.10.1, злоумышленник может вызвать отказ в обслуживании (DoS), установив HTTP- или HTTPS-соединение в режиме keep-alive и отправляя заголовки очень медленно. Это сохраняет соединение и связанные с ним ресурсы активными в течение длительного периода времени. Потенциальные атаки смягчаются за счет использования балансировщика нагрузки или другого прокси-слоя. Эта уязвимость является расширением CVE-2018-12121, устранена в ноябре, и затрагивает все активные линии выпуска Node.js, включая 6.x до 6.17.0, 8.x до 8.15.1, 10.x до 10.15.2 и 11.x до 11.10.1.
CVE-2018-7159HTTP-парсер во всех текущих версиях Node.js игнорирует пробелы в заголовке `Content-Length`, позволяя интерпретировать ввод, например `Content-Length: 1 2`, как имеющий значение `12`. Спецификация HTTP не допускает пробелов в значении `Content-Length`, и HTTP-парсер Node.js был приведен в соответствие с этим конкретным различием. Риск безопасности этого недостатка для пользователей Node.js считается ОЧЕНЬ НИЗКИМ, поскольку трудно, и может быть невозможно, создать атаку, которая использует этот недостаток таким образом, который нельзя было бы достичь, предоставив неверное значение для `Content-Length`. Уязвимости могут существовать в пользовательском коде, который делает неверные предположения о потенциальной точности этого значения по сравнению с фактической длиной предоставленных данных. Пользователям Node.js, создающим низкоуровневые HTTP-утилиты, рекомендуется перепроверять длину любого предоставленного ввода после завершения анализа.
CVE-2018-3737sshpk уязвим для ReDoS при анализе специально созданных недействительных открытых ключей.
CVE-2018-12123Node.js: Все версии до Node.js 6.15.0, 8.14.0, 10.14.0 и 11.3.0: Подмена имени хоста в анализаторе URL для протокола javascript: Если приложение Node.js использует url.parse() для определения имени хоста URL, это имя хоста можно подделать, используя смешанный регистр протокола "javascript:" (например, "javAscript:") (другие протоколы не затрагиваются). Если решения о безопасности URL принимаются на основе имени хоста, они могут быть неверными.
CVE-2018-12122Node.js: Все версии до Node.js 6.15.0, 8.14.0, 10.14.0 и 11.3.0: Slowloris HTTP Отказ в обслуживании: Злоумышленник может вызвать отказ в обслуживании (DoS), отправляя заголовки очень медленно, сохраняя соединения HTTP или HTTPS и связанные с ними ресурсы активными в течение длительного периода времени.
CVE-2017-18077index.js в brace-expansion до версии 1.1.7 уязвим для атак типа Regular Expression Denial of Service (ReDoS), как продемонстрировано аргументом expand, содержащим множество символов запятой.
CVE-2019-16777Версии npm CLI до 6.13.4 подвержены произвольной перезаписи файлов. Не удается предотвратить перезапись существующих глобально установленных двоичных файлов другими установками пакетов. Например, если пакет был установлен глобально и создан двоичный файл serve, любые последующие установки пакетов, которые также создают двоичный файл serve, перезапишут предыдущий двоичный файл serve. Это поведение по-прежнему разрешено в локальных установках, а также через скрипты установки. Эта уязвимость обходит пользователя, использующего опцию установки --ignore-scripts.
CVE-2019-16776Версии npm CLI до 6.13.3 подвержены произвольной записи файлов. Не удается предотвратить доступ к папкам за пределами предполагаемой папки node_modules через поле bin. Правильно сконструированная запись в поле bin package.json позволит издателю пакета изменять и/или получать доступ к произвольным файлам в системе пользователя при установке пакета. Это поведение по-прежнему возможно через скрипты установки. Эта уязвимость обходит пользователя, использующего опцию установки --ignore-scripts.
CVE-2019-16775Версии npm CLI до 6.13.3 подвержены произвольной записи файлов. Пакеты могут создавать символические ссылки на файлы за пределами папки node_modules через поле bin при установке. Правильно сконструированная запись в поле bin package.json позволит издателю пакета создать символическую ссылку, указывающую на произвольные файлы в системе пользователя при установке пакета. Это поведение по-прежнему возможно через скрипты установки. Эта уязвимость обходит пользователя, использующего опцию установки --ignore-scripts.