SK-CERT Bezpečnostné varovanie V20200603-01

3. júna 2020

Dôležitosť	Kritická
Klasifikácia	Neutajované/TLP WHITE
CVSS Skóre	9.8

Identifikátor

Node.js viacero zraniteľností

Popis

Vývojári Node.js vydali aktualizáciu na svoj produkt, ktorá opravuje viacero bezpečnostných zraniteľností.
Najzávažnejšie bezpečnostné zraniteľnosti sú spôsobené nedostatočným overovaním používateľských vstupov a umožňujú vzdialenému, neautentifikovanému útočníkovi prostredníctvom zasielania špeciálne upravených súborov vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému.

Dátum prvého zverejnenia varovania

28.03.2019

CVE

CVE-2020-10531, CVE-2020-11080, CVE-2020-8172, CVE-2020-8174

IOC

–

Zasiahnuté systémy

Node.js verzie staršie ako 10.21.0 (LTS), 12.18.0 (LTS) a 14.4.0

Následky

Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému
Zneprístupnenie služby

Odporúčania

Odporúčame uistiť sa, či Vaše aplikácie nevyužívajú technológiu Node.js. V prípade, že áno, administrátorom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov.
Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč.

Zdroje

https://nodejs.org/en/blog/vulnerability/june-2020-security-releases/
https://exchange.xforce.ibmcloud.com/vulnerabilities/182814
https://exchange.xforce.ibmcloud.com/vulnerabilities/182816
https://exchange.xforce.ibmcloud.com/vulnerabilities/182815

« Späť na zoznam

SK-CERT Bezpečnostné varovanie V20200603-01

SK-CERT Bezpečnostné varovanie V20240419-04

SK-CERT Bezpečnostné varovanie V20240419-03

SK-CERT Bezpečnostné varovanie V20240419-02