← voltar
CVE-2021-22883

CVE-2021-22883

EPSS 77.4%CWE-400
Em resumo

Node.js pode travar ou deixar de responder quando um atacante envia muitas tentativas de conexão usando um protocolo desconhecido, esgotando os descritores de arquivo ou memória do servidor. Isso impede que usuários legítimos se conectem e pode afetar todo o sistema.

Detalhe técnico

Uma vulnerabilidade de negação de serviço no Node.js permite que um atacante não autenticado esgote recursos de descritores de arquivo estabelecendo múltiplas conexões com valor 'unknownProtocol', resultando em vazamento de descritores. Quando limites de descritores são configurados, novas conexões são rejeitadas e operações de arquivo falham; sem limites, o consumo excessivo de memória leva à exaustão de recursos em todo o sistema.

Resumo gerado e traduzido por IA a partir da descrição oficial.
Node.js before 10.24.0, 12.21.0, 14.16.0, and 15.10.0 is vulnerable to a denial of service attack when too many connection attempts with an 'unknownProtocol' are established. This leads to a leak of file descriptors. If a file descriptor limit is configured on the system, then the server is unable to accept new connections and prevent the process also from opening, e.g. a file. If no file descriptor limit is configured, then this lead to an excessive memory usage and cause the system to run out of memory.
Produtos afetados
NodeJS · Node

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://cert-portal.siemens.com/productcert/pdf/ssa-389290.pdfhttps://hackerone.com/reports/1043360https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/E4FRS5ZVK4ZQ7XIJQNGIKUXG2DJFHLO7/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/F45Y7TXSU33MTKB6AGL2Q5V5ZOCNPKOG/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/HSYFUGKFUSZ27M5TEZ3FKILWTWFJTFAZ/https://nodejs.org/en/blog/vulnerability/february-2021-security-releases/https://security.netapp.com/advisory/ntap-20210416-0001/https://www.oracle.com/security-alerts/cpuApr2021.htmlhttps://www.oracle.com//security-alerts/cpujul2021.htmlhttps://www.oracle.com/security-alerts/cpuoct2021.html