← volver
CVE-2021-22883

CVE-2021-22883

EPSS 77.4%CWE-400
En resumen

Node.js puede fallar o dejar de responder cuando un atacante envía muchos intentos de conexión utilizando un protocolo desconocido, agotando los descriptores de archivo o la memoria del servidor. Esto impide que usuarios legítimos se conecten y puede afectar a todo el sistema.

Detalle técnico

Una vulnerabilidad de denegación de servicio en Node.js permite que un atacante no autenticado agote recursos de descriptores de archivo estableciendo múltiples conexiones con valor 'unknownProtocol', resultando en fuga de descriptores. Cuando se configuran límites de descriptores, las nuevas conexiones se rechazan y las operaciones de archivo fallan; sin límites, el consumo excesivo de memoria causa agotamiento de recursos en todo el sistema.

Resumen generado y traducido por IA a partir de la descripción oficial.
Node.js before 10.24.0, 12.21.0, 14.16.0, and 15.10.0 is vulnerable to a denial of service attack when too many connection attempts with an 'unknownProtocol' are established. This leads to a leak of file descriptors. If a file descriptor limit is configured on the system, then the server is unable to accept new connections and prevent the process also from opening, e.g. a file. If no file descriptor limit is configured, then this lead to an excessive memory usage and cause the system to run out of memory.
Productos afectados
NodeJS · Node

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://cert-portal.siemens.com/productcert/pdf/ssa-389290.pdfhttps://hackerone.com/reports/1043360https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/E4FRS5ZVK4ZQ7XIJQNGIKUXG2DJFHLO7/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/F45Y7TXSU33MTKB6AGL2Q5V5ZOCNPKOG/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/HSYFUGKFUSZ27M5TEZ3FKILWTWFJTFAZ/https://nodejs.org/en/blog/vulnerability/february-2021-security-releases/https://security.netapp.com/advisory/ntap-20210416-0001/https://www.oracle.com/security-alerts/cpuApr2021.htmlhttps://www.oracle.com//security-alerts/cpujul2021.htmlhttps://www.oracle.com/security-alerts/cpuoct2021.html