製品・ソフトウェアに関する情報

JVN脆弱性詳細

Node.js の HTTP サーバにおけるサービス運用妨害 (DoS) の脆弱性

Title	Node.js の HTTP サーバにおけるサービス運用妨害 (DoS) の脆弱性
Summary	Node.js の HTTP サーバには、サービス運用妨害 (メモリおよび CPU 資源の消費) 状態にされる脆弱性が存在します。
Possible impacts	第三者により、レスポンスを読まれることなく大量のパイプライン化されたリクエストを送信されることで、サービス運用妨害 (メモリおよび CPU 資源の消費) 状態にされる可能性があります。
Solution	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Oct. 18, 2013, midnight
Registration Date	Oct. 23, 2013, 4:31 p.m.
Last Update	Jan. 17, 2014, 11:31 a.m.

CVSS2.0 : 警告
Score	5
Vector	AV:N/AC:L/Au:N/C:N/I:N/A:P

Affected System

Node.js Foundation

Node.js 0.10.21 未満の 0.10.x

Node.js 0.8.26 未満の 0.8.x

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2013-4450	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4450
National Vulnerability Database (NVD)
2	CVE-2013-4450	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4450

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-20	https://jvndb.jvn.jp/ja/cwe/CWE-20.html

ベンダー情報

No	Name	URL
GitHub
1	Bump Node version to one with a fix for CVE-2013-4450, non-specific HTTP DoS.	https://github.com/bazbremner/drivebot/commit/3581fd765cf8e046cc86eed1d355345733a200c5
2	[DoS security vulnerability. Original title redacted]	https://github.com/joyent/node/issues/6214
Joyent
3	Node v0.10.21 (Stable)	http://blog.nodejs.org/2013/10/18/node-v0-10-21-stable/
4	Node v0.8.26 (Maintenance)	http://blog.nodejs.org/2013/10/18/node-v0-8-26-maintenance/
opensuse-updates
5	openSUSE-SU-2013:1863	http://lists.opensuse.org/opensuse-updates/2013-12/msg00051.html
Red Hat Bugzilla
6	Bug 1021170	https://bugzilla.redhat.com/show_bug.cgi?id=1021170
Red Hat Security Advisory
7	RHSA-2013:1842	http://rhn.redhat.com/errata/RHSA-2013-1842.html

Change Log

No	Changed Details	Date of change
0	[2013年10月23日] 掲載 [2014年01月17日] ベンダ情報：Joyent (Bump Node version to one with a fix for CVE-2013-4450, non-specific HTTP DoS.) を追加ベンダ情報：Novell (openSUSE-SU-2013:1863) を追加ベンダ情報：レッドハット (Bug 1021170) を追加ベンダ情報：レッドハット (RHSA-2013:1842) を追加	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2013-4450

Summary	The HTTP server in Node.js 0.10.x before 0.10.21 and 0.8.x before 0.8.26 allows remote attackers to cause a denial of service (memory and CPU consumption) by sending a large number of pipelined requests without reading the response.
Publication Date	Oct. 22, 2013, 2:55 a.m.
Registration Date	Jan. 26, 2021, 3:43 p.m.
Last Update	Nov. 21, 2024, 10:55 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:nodejs:nodejs:0.10.2:::::::*
cpe:2.3:a:nodejs:nodejs:0.8.0:::::::*
cpe:2.3:a:nodejs:nodejs:0.8.14:::::::*
cpe:2.3:a:nodejs:nodejs:0.8.12:::::::*
cpe:2.3:a:nodejs:nodejs:0.10.0:::::::*
cpe:2.3:a:nodejs:nodejs:0.8.5:::::::*
cpe:2.3:a:nodejs:nodejs:0.8.22:::::::*
cpe:2.3:a:nodejs:nodejs:0.10.1:::::::*
cpe:2.3:a:nodejs:nodejs:0.10.14:::::::*
cpe:2.3:a:nodejs:nodejs:0.10.9:::::::*
cpe:2.3:a:nodejs:nodejs:0.10.15:::::::*
cpe:2.3:a:nodejs:nodejs:0.8.19:::::::*
cpe:2.3:a:nodejs:nodejs:0.10.3:::::::*
cpe:2.3:a:nodejs:nodejs:0.10.6:::::::*
cpe:2.3:a:nodejs:nodejs:0.8.3:::::::*
cpe:2.3:a:nodejs:nodejs:0.8.6:::::::*
cpe:2.3:a:nodejs:nodejs:0.8.10:::::::*
cpe:2.3:a:nodejs:nodejs:0.8.4:::::::*
cpe:2.3:a:nodejs:nodejs:0.8.8:::::::*
cpe:2.3:a:nodejs:nodejs:0.10.11:::::::*
cpe:2.3:a:nodejs:nodejs:0.8.11:::::::*
cpe:2.3:a:nodejs:nodejs:0.10.20:::::::*
cpe:2.3:a:nodejs:nodejs:0.8.20:::::::*
cpe:2.3:a:nodejs:nodejs:0.10.8:::::::*
cpe:2.3:a:nodejs:nodejs:0.10.12:::::::*
cpe:2.3:a:nodejs:nodejs:0.10.18:::::::*
cpe:2.3:a:nodejs:nodejs:0.8.23:::::::*
cpe:2.3:a:nodejs:nodejs:0.8.2:::::::*
cpe:2.3:a:nodejs:nodejs:0.10.17:::::::*
cpe:2.3:a:nodejs:nodejs:0.8.17:::::::*
cpe:2.3:a:nodejs:nodejs:0.8.9:::::::*
cpe:2.3:a:nodejs:nodejs:0.8.21:::::::*
cpe:2.3:a:nodejs:nodejs:0.8.13:::::::*
cpe:2.3:a:nodejs:nodejs:0.8.16:::::::*
cpe:2.3:a:nodejs:nodejs:0.10.13:::::::*
cpe:2.3:a:nodejs:nodejs:0.8.15:::::::*
cpe:2.3:a:nodejs:nodejs:0.10.7:::::::*
cpe:2.3:a:nodejs:nodejs:0.8.1:::::::*
cpe:2.3:a:nodejs:nodejs:0.8.18:::::::*
cpe:2.3:a:nodejs:nodejs:0.8.24:::::::*
cpe:2.3:a:nodejs:nodejs:0.10.16:::::::*
cpe:2.3:a:nodejs:nodejs:0.10.4:::::::*
cpe:2.3:a:nodejs:nodejs:0.8.25:::::::*
cpe:2.3:a:nodejs:nodejs:0.10.5:::::::*
cpe:2.3:a:nodejs:nodejs:0.10.10:::::::*
cpe:2.3:a:nodejs:nodejs:0.10.19:::::::*
cpe:2.3:a:nodejs:nodejs:0.8.7:::::::*

Related information, measures and tools

No	URL	タグ
1	http://blog.nodejs.org/2013/10/18/node-v0-10-21-stable/	Patch
2	http://blog.nodejs.org/2013/10/18/node-v0-10-21-stable/	Patch
3	http://blog.nodejs.org/2013/10/18/node-v0-8-26-maintenance/	Patch
4	http://blog.nodejs.org/2013/10/18/node-v0-8-26-maintenance/	Patch
5	http://lists.opensuse.org/opensuse-updates/2013-12/msg00051.html
6	http://lists.opensuse.org/opensuse-updates/2013-12/msg00051.html
7	http://rhn.redhat.com/errata/RHSA-2013-1842.html
8	http://rhn.redhat.com/errata/RHSA-2013-1842.html
9	http://www.openwall.com/lists/oss-security/2013/10/20/1
10	http://www.openwall.com/lists/oss-security/2013/10/20/1
11	http://www.securityfocus.com/bid/63229
12	http://www.securityfocus.com/bid/63229
13	https://github.com/joyent/node/issues/6214
14	https://github.com/joyent/node/issues/6214
15	https://github.com/rapid7/metasploit-framework/pull/2548	Exploit
16	https://github.com/rapid7/metasploit-framework/pull/2548	Exploit
17	https://groups.google.com/forum/#%21topic/nodejs/NEbweYB0ei0
18	https://groups.google.com/forum/#%21topic/nodejs/NEbweYB0ei0
19	https://kb.juniper.net/JSA10783
20	https://kb.juniper.net/JSA10783

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-20	不適切な入力確認	https://cwe.mitre.org/data/definitions/20.html

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:nodejs:nodejs:0.10.2:::::::*
cpe:2.3:a:nodejs:nodejs:0.8.0:::::::*
cpe:2.3:a:nodejs:nodejs:0.8.14:::::::*
cpe:2.3:a:nodejs:nodejs:0.8.12:::::::*
cpe:2.3:a:nodejs:nodejs:0.10.0:::::::*
cpe:2.3:a:nodejs:nodejs:0.8.5:::::::*
cpe:2.3:a:nodejs:nodejs:0.8.22:::::::*
cpe:2.3:a:nodejs:nodejs:0.10.1:::::::*
cpe:2.3:a:nodejs:nodejs:0.10.14:::::::*
cpe:2.3:a:nodejs:nodejs:0.10.9:::::::*
cpe:2.3:a:nodejs:nodejs:0.10.15:::::::*
cpe:2.3:a:nodejs:nodejs:0.8.19:::::::*
cpe:2.3:a:nodejs:nodejs:0.10.3:::::::*
cpe:2.3:a:nodejs:nodejs:0.10.6:::::::*
cpe:2.3:a:nodejs:nodejs:0.8.3:::::::*
cpe:2.3:a:nodejs:nodejs:0.8.6:::::::*
cpe:2.3:a:nodejs:nodejs:0.8.10:::::::*
cpe:2.3:a:nodejs:nodejs:0.8.4:::::::*
cpe:2.3:a:nodejs:nodejs:0.8.8:::::::*
cpe:2.3:a:nodejs:nodejs:0.10.11:::::::*
cpe:2.3:a:nodejs:nodejs:0.8.11:::::::*
cpe:2.3:a:nodejs:nodejs:0.10.20:::::::*
cpe:2.3:a:nodejs:nodejs:0.8.20:::::::*
cpe:2.3:a:nodejs:nodejs:0.10.8:::::::*
cpe:2.3:a:nodejs:nodejs:0.10.12:::::::*
cpe:2.3:a:nodejs:nodejs:0.10.18:::::::*
cpe:2.3:a:nodejs:nodejs:0.8.23:::::::*
cpe:2.3:a:nodejs:nodejs:0.8.2:::::::*
cpe:2.3:a:nodejs:nodejs:0.10.17:::::::*
cpe:2.3:a:nodejs:nodejs:0.8.17:::::::*
cpe:2.3:a:nodejs:nodejs:0.8.9:::::::*
cpe:2.3:a:nodejs:nodejs:0.8.21:::::::*
cpe:2.3:a:nodejs:nodejs:0.8.13:::::::*
cpe:2.3:a:nodejs:nodejs:0.8.16:::::::*
cpe:2.3:a:nodejs:nodejs:0.10.13:::::::*
cpe:2.3:a:nodejs:nodejs:0.8.15:::::::*
cpe:2.3:a:nodejs:nodejs:0.10.7:::::::*
cpe:2.3:a:nodejs:nodejs:0.8.1:::::::*
cpe:2.3:a:nodejs:nodejs:0.8.18:::::::*
cpe:2.3:a:nodejs:nodejs:0.8.24:::::::*
cpe:2.3:a:nodejs:nodejs:0.10.16:::::::*
cpe:2.3:a:nodejs:nodejs:0.10.4:::::::*
cpe:2.3:a:nodejs:nodejs:0.8.25:::::::*
cpe:2.3:a:nodejs:nodejs:0.10.5:::::::*
cpe:2.3:a:nodejs:nodejs:0.10.10:::::::*
cpe:2.3:a:nodejs:nodejs:0.10.19:::::::*
cpe:2.3:a:nodejs:nodejs:0.8.7:::::::*