正文

NodeJS Tough-Cookie 2.2.2 HTTP Cookie Regular Expression 拒绝服务漏洞

admin
admin V管理员 /0 评论 /19 阅读
0423
此篇文章发布距今已超过1110天,您需要注意文章的内容或图片是否可用!

CVE编号

CVE-2016-1000232

利用情况

暂无

补丁情况

官方补丁

披露时间

2018-09-06
漏洞描述
Red Hat OpenShift Container Platform是美国红帽(Red Hat)公司的一款可帮助企业在物理、虚拟和公共云基础架构之间开发、部署和管理现有基于容器的应用程序的应用平台。nodejs是其中的一个建立在Google V8 JavaScript引擎之上的网络应用平台。
Red Hat OpenShift Container Platform 3.1-3.3版本的nodejs的Tough-Cookie中存在拒绝服务漏洞。攻击者可以利用该漏洞造成拒绝服务(CPU资源耗尽)。
解决建议
目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:
https://nodejs.org/
参考链接
https://access.redhat.com/errata/RHSA-2016:2101
https://access.redhat.com/errata/RHSA-2017:2912
https://access.redhat.com/security/cve/cve-2016-1000232
https://github.com/salesforce/tough-cookie/commit/615627206357d997d5e6ff9da15...
https://github.com/salesforce/tough-cookie/commit/e4fc2e0f9ee1b7a818d68f0ac7e...
https://www.ibm.com/blogs/psirt/ibm-security-bulletin-ibm-api-connect-is-affe...
https://www.npmjs.com/advisories/130
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 ibm api_connect * From
(including)
5.0.6.0 		Up to
(including)
5.0.6.5
运行在以下环境
应用 ibm api_connect * From
(including)
5.0.7.0 		Up to
(including)
5.0.7.2
运行在以下环境
应用 ibm api_connect 5.0.8.0 -
运行在以下环境
应用 redhat openshift_container_platform 3.1 -
运行在以下环境
应用 redhat openshift_container_platform 3.2 -
运行在以下环境
应用 redhat openshift_container_platform 3.3 -
运行在以下环境
应用 salesforce tough-cookie * From
(including)
0.9.7 		Up to
(including)
2.2.2
运行在以下环境
系统 fedora_23 nodejs-tough-cookie * Up to
(excluding)
2.3.1-1.fc23
运行在以下环境
系统 fedora_24 nodejs-tough-cookie * Up to
(excluding)
2.3.1-1.fc24
阿里云评分 3.1
  • 攻击路径 远程
  • 攻击复杂度 复杂
  • 权限要求 无需权限
  • 影响范围 有限影响
  • EXP成熟度 未验证
  • 补丁情况 官方补丁
  • 数据保密性 无影响
  • 数据完整性 无影响
  • 服务器危害 无影响
  • 全网数量 100
CWE-ID 漏洞类型 CWE-20 输入验证不恰当