9VSA20-00326-01 CSIRT comparte mitigación para vulnerabilidad obtenida de NodeJS
CSIRT comparte la información obtenida de NodeJS referente a vulnerabilidad que permitiría causar una denegación de servicios a través de peticiones DNS.
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte la información obtenida de NodeJS referente a vulnerabilidad que permitiría causar una denegación de servicios a través de peticiones DNS. El presente informe incluye la respectiva medida de mitigación.
Vulnerabilidad
CVE-2020-8277
CVE-2020-8277
Una aplicación que haya sido construida con NodeJS y que permita realizar peticiones DNS a un host elegido por el usuario podría causar una denegación de servicios (DoS) al forzar a la aplicación resolver un registro DNS con una gran cantidad de respuestas.
Productos Afectados
Versiones 12.16.3 y superiores en la línea 12.x.
Versiones 14.13.0 y superiores en la línea 14.x
Todas las versiones de la línea 15.x.
Mitigación
La vulnerabilidad fue mitigada en las versiones 12.19.1 (LTS), 14.15.1 (LTS) y 15.2.1 (versión actual).
Enlaces
https://nodejs.org/en/blog/vulnerability/november-2020-security-releases/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8277
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA20-00326-01