Node.js 迄 6.14.x/8.13.x/10.13.x/10.2.x HTTP Header Slowloris サービス拒否

CVSS 一時的なメタスコア現在のエクスプロイト価格 (≈)CTI注目指数
6.3$0-$5k0.00

要約情報

脆弱性が問題があるとして分類され、Node.js 迄 6.14.x/8.13.x/10.13.x/10.2.xで発見されました。 この問題により影響を受けるのは、コンポーネント【HTTP Header Handler】の未知の機能です。 この操作は、 サービス拒否 (Slowloris)を引き起こします。 この脆弱性はCVE-2018-12122として取引されています。 攻撃はリモートで開始される場合があります。 影響を受けたコンポーネントのアップグレードを推奨します。

詳細情報

脆弱性が問題があるとして分類され、Node.js 迄 6.14.x/8.13.x/10.13.x/10.2.xで発見されました。 この問題により影響を受けるのは、コンポーネント【HTTP Header Handler】の未知の機能です。 この操作は、 サービス拒否 (Slowloris)を引き起こします。 問題をCWEで宣言すると、CWE-400 になります。 バグが発見されたのは2018年11月28日です。 この脆弱性は 2018年11月28日に公開されました 、November 2018 Security Releasesとして 、Blog Postとして (ウェブサイト)。 アドバイザリーは nodejs.org から入手可能です。 一般公開はベンダーとの協力で行われています。

この脆弱性はCVE-2018-12122として取引されています。 CVEのアサインは2018年06月11日に実施されました。 攻撃はリモートで開始される場合があります。 技術詳細は存在しません。 この脆弱性の一般的な利用度は平均を下回っています。 現時点で、脆弱性の構成から考えられる取引価格帯を約$0-$5k米ドルと算出しました。 この脆弱性は、MITRE ATT&CKプロジェクトによって T1499 に割り当てられました。 アドバイザリは以下の内容を示しています:

All versions of Node.js 6 and later are vulnerable and the severity is LOW. An attacker can cause a Denial of Service (DoS) by sending headers very slowly keeping HTTP or HTTPS connections and associated resources alive for a long period of time. Attack potential is mitigated by the use of a load balancer or other proxy layer.

未定義 として設定されています。 0-dayとして、アンダーグラウンドでの推定価格は$0-$5k程度でした。 アドバイザリは次の内容を示しています:

A timeout of 40 seconds now applies to servers receiving HTTP headers. This value can be adjusted with server.headersTimeout. Where headers are not completely received within this period, the socket is destroyed on the next received chunk. In conjunction with server.setTimeout(), this aids in protecting against excessive resource retention and possible Denial of Service.
Nessus脆弱性スキャナーは、IDが119511のプラグインを持っています。 この項目は FreeBSD Local Security Checks ファミリーに割り当てられています。 プラグインはlタイプのコンテキストで動作しています。 商用脆弱性スキャナーQualysではプラグイン【 172114 (OpenSUSE Security Update for nodejs6 (openSUSE-SU-2019:0234-1)) 】を使用してこの問題をテストできます。

この問題は、6.15.0, 8.14.0, 10.14.0 , 11.3.0へのアップグレードによって解決可能です。 影響を受けたコンポーネントのアップグレードを推奨します。 脆弱性が開示されてから すぐに 経過後に、対策が提供されました。

他の脆弱性データベースにもこの脆弱性の情報があります: SecurityFocus (BID 106043) , Tenable (119511).

製品情報

タイプ

名前

バージョン

ライセンス

CPE 2.3情報

CPE 2.2情報

CVSSv4情報

VulDB ベクトル: 🔍
VulDB 信頼性: 🔍

CVSSv3情報

VulDB ベースメタスコア: 6.4
VulDB 一時的なメタスコア: 6.3

VulDB ベーススコア: 5.3
VulDB 一時的なスコア: 5.1
VulDB ベクトル: 🔍
VulDB 信頼性: 🔍

NVD ベーススコア: 7.5
NVD ベクトル: 🔍

CVSSv2情報

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
ベクトル複雑さ認証機密性完全性可用性
解除解除解除解除解除解除
解除解除解除解除解除解除
解除解除解除解除解除解除

VulDB ベーススコア: 🔍
VulDB 一時的なスコア: 🔍
VulDB 信頼性: 🔍

NVD ベーススコア: 🔍

悪用情報

名前: Slowloris
クラス: サービス拒否 / Slowloris
CWE: CWE-400 / CWE-404
CAPEC: 🔍
ATT&CK: 🔍

物理的: いいえ
ローカル: いいえ
リモート: はい

可用性: 🔍
ステータス: 未定義

EPSS Score: 🔍
EPSS Percentile: 🔍

価格予測: 🔍
現在の価格評価: 🔍

0-Day解除解除解除解除
本日解除解除解除解除

Nessus ID: 119511
Nessus 名前: FreeBSD : node.js -- multiple vulnerabilities (2a86f45a-fc3c-11e8-a414-00155d006b02)
Nessus ファイル: 🔍
Nessus リスク: 🔍
Nessus ファミリー: 🔍
Nessus Context: 🔍

Qualys ID: 🔍
Qualys 名前: 🔍

脅威インテリジェンス情報

関心: 🔍
アクティブアクター: 🔍
アクティブなAPTグループ: 🔍

対策情報

推奨: アップグレード
ステータス: 🔍

リアクション時間: 🔍
0day日時: 🔍
暴露時間: 🔍

アップグレード: Node.js 6.15.0/8.14.0/10.14.0/11.3.0

タイムライン情報

2018年06月11日 🔍
2018年11月28日 +170 日 🔍
2018年11月28日 +0 日 🔍
2018年11月28日 +0 日 🔍
2018年11月28日 +0 日 🔍
2018年11月28日 +0 日 🔍
2018年11月29日 +1 日 🔍
2018年12月10日 +11 日 🔍
2024年12月13日 +2195 日 🔍

ソース情報

勧告: November 2018 Security Releases
ステータス: 確認済み
確認: 🔍
調整済み: 🔍

CVE: CVE-2018-12122 (🔍)
GCVE (CVE): GCVE-0-2018-12122
GCVE (VulDB): GCVE-100-127261
SecurityFocus: 106043 - Node.js HTTP Header Multiple Denial of Service Vulnerabilities

関連情報: 🔍

エントリ情報

作成済み: 2018年11月29日 07:44
更新済み: 2024年12月13日 17:42
変更: 2018年11月29日 07:44 (79), 2020年04月15日 18:53 (4), 2024年12月13日 17:42 (18)
完了: 🔍
Cache ID: 216::103

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

討論

コメントはまだありません。 言語: ja + en.

コメントするにはログインしてください。

概要

Interested in the pricing of exploits?

See the underground prices here!