Node.js até 6.14.x/8.13.x/10.13.x/10.2.x HTTP Header Slowloris Negação de Serviço
| CVSS Meta Pontuação Temporária | Preço atual do exploit (≈) | Nota de Interesse CTI |
|---|---|---|
| 6.3 | $0-$5k | 0.00 |
Sumário
Uma vulnerabilidade foi encontrada em Node.js até 6.14.x/8.13.x/10.13.x/10.2.x e classificada como problemático. O impacto ocorre em uma função desconhecida no componente HTTP Header Handler. O tratamento leva a Negação de Serviço (Slowloris). Esta vulnerabilidade é referenciada como CVE-2018-12122. O ataque pode ser feito a partir da rede. Não há exploit disponível. É recomendado atualizar o componente afetado.
Detalhes
Uma vulnerabilidade foi encontrada em Node.js até 6.14.x/8.13.x/10.13.x/10.2.x e classificada como problemático. O impacto ocorre em uma função desconhecida no componente HTTP Header Handler. O tratamento leva a Negação de Serviço (Slowloris). Declarar o problema usando CWE resulta em CWE-400. A vulnerabilidade foi identificada em 28/11/2018. O problema foi divulgado 28/11/2018 como November 2018 Security Releases como Blog Post (Site). O aviso pode ser baixado em nodejs.org. A disponibilidade pública foi coordenada em cooperação com o vendedor.
Esta vulnerabilidade é referenciada como CVE-2018-12122. A designação do CVE foi realizada em 11/06/2018. O ataque pode ser feito a partir da rede. Não existem detalhes técnicos acessíveis. A popularidade dessa vulnerabilidade é inferior à média. Não há exploit disponível. Neste momento, o preço atual de um exploit pode ser cerca de USD $0-$5k agora. O projeto MITRE ATT&CK identifica a técnica de ataque como T1499. O aviso aponta:
All versions of Node.js 6 and later are vulnerable and the severity is LOW. An attacker can cause a Denial of Service (DoS) by sending headers very slowly keeping HTTP or HTTPS connections and associated resources alive for a long period of time. Attack potential is mitigated by the use of a load balancer or other proxy layer.
Está declarado como não definido. Como 0-day, o preço estimado no mercado negro era cerca de $0-$5k. O aconselhamento aponta para o seguinte:
A timeout of 40 seconds now applies to servers receiving HTTP headers. This value can be adjusted with server.headersTimeout. Where headers are not completely received within this period, the socket is destroyed on the next received chunk. In conjunction with server.setTimeout(), this aids in protecting against excessive resource retention and possible Denial of Service.O Nessus, ferramenta de varredura de vulnerabilidades, disponibiliza um plugin com o identificador 119511. Está atribuído à família FreeBSD Local Security Checks. O plugin está rodando no contexto do tipo l. O scanner de vulnerabilidade comercial Qualys é capaz de testar este problema com plugin 172114 (OpenSUSE Security Update for nodejs6 (openSUSE-SU-2019:0234-1)).
A atualização para a versão 6.15.0, 8.14.0, 10.14.0 e 11.3.0 pode solucionar este problema. É recomendado atualizar o componente afetado.
A vulnerabilidade também está documentada em outros bancos de dados de vulnerabilidades: SecurityFocus (BID 106043) e Tenable (119511).
Produto
Tipo
Nome
Versão
- 6.0
- 6.1
- 6.2
- 6.3
- 6.4
- 6.5
- 6.6
- 6.7
- 6.8
- 6.9
- 6.10
- 6.11
- 6.12
- 6.13
- 6.14
- 8.0
- 8.1
- 8.2
- 8.3
- 8.4
- 8.5
- 8.6
- 8.7
- 8.8
- 8.9
- 8.10
- 8.11
- 8.12
- 8.13
- 10.0
- 10.1
- 10.2
- 10.3
- 10.4
- 10.5
- 10.6
- 10.7
- 10.8
- 10.9
- 10.10
- 10.11
- 10.12
- 10.13
Licença
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vetor: 🔍VulDB Fiabilidade: 🔍
CVSSv3
VulDB Meta Pontuação Base: 6.4VulDB Meta Pontuação Temporária: 6.3
VulDB Pontuação Base: 5.3
VulDB Pontuação Temporária: 5.1
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍
NVD Pontuação Base: 7.5
NVD Vetor: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complexidade | Autenticação | Confidencialidade | Integridade | Disponibilidade |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍
NVD Pontuação Base: 🔍
Exploração
Nome: SlowlorisClasse: Negação de Serviço / Slowloris
CWE: CWE-400 / CWE-404
CAPEC: 🔍
ATT&CK: 🔍
Físico: Não
Local: Não
Remoto: Sim
Disponibilidade: 🔍
Estado: Não definido
EPSS Score: 🔍
EPSS Percentile: 🔍
Tendência de preços: 🔍
Estimativa de preço atual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoje | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Nessus ID: 119511
Nessus Nome: FreeBSD : node.js -- multiple vulnerabilities (2a86f45a-fc3c-11e8-a414-00155d006b02)
Nessus Ficheiro: 🔍
Nessus Risco: 🔍
Nessus Família: 🔍
Nessus Context: 🔍
Qualys ID: 🔍
Qualys Nome: 🔍
Inteligência de ameaças
Interesse: 🔍Atores ativos: 🔍
Grupos APT ativos: 🔍
Contramedidas
Recomendação: AtualizaçãoEstado: 🔍
Tempo de resposta: 🔍
Tempo 0-dia: 🔍
Tempo de exposição: 🔍
Atualização: Node.js 6.15.0/8.14.0/10.14.0/11.3.0
Linha do tempo
11/06/2018 🔍28/11/2018 🔍
28/11/2018 🔍
28/11/2018 🔍
28/11/2018 🔍
28/11/2018 🔍
29/11/2018 🔍
10/12/2018 🔍
13/12/2024 🔍
Fontes
Aconselhamento: November 2018 Security ReleasesEstado: Confirmado
Confirmação: 🔍
Coordenado: 🔍
CVE: CVE-2018-12122 (🔍)
GCVE (CVE): GCVE-0-2018-12122
GCVE (VulDB): GCVE-100-127261
SecurityFocus: 106043 - Node.js HTTP Header Multiple Denial of Service Vulnerabilities
Veja também: 🔍
Entrada
Criado: 29/11/2018 07h44Atualizado: 13/12/2024 17h42
Ajustamentos: 29/11/2018 07h44 (79), 15/04/2020 18h53 (4), 13/12/2024 17h42 (18)
Completo: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Ainda sem comentários. Idiomas: pt + es + en.
Por favor, inicie sessão para comentar.