• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Перепривязка DNS

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
F5
Наименование ПО
F5 BIG-IP TMOS (13.1.0, 13.1.2, 14.0.0, 14.1.0)
Описание
Перепривязка DNS в инспекторе (inspector) Node.js позволяет злоумышленникам выполнить код удаленно. Атака возможна с вредоносного сайта, открытого в браузере на том же компьютере или другом компьютере с сетевым доступом к компьютеру с запущенным процессом Node.js. Вредоносный сайт может использовать перепривязку DNS, чтобы убедить браузер обойти ограничения политики доступа и получить разрешение на HTTP-подключения к localhost или узлам в локальной сети. Если процесс Node.js с активным портом отладки запущен на localhost или узле в локальной сети, вредоносный сайт может подключиться к нему в качестве отладчика и получить полные права на выполнение кода.
Как исправить
Используйте рекомендации производителя:
https://my.f5.com/manage/s/article/K63025104
Ссылки
Источник: CVE
Наименование: CVE-2018-7160
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7160

https://my.f5.com/manage/s/article/K63025104