H3 — это минимальная структура H(TTP). Версии с 2.0.1-beta.0 по 2.0.0-rc.8 содержат уязвимость бокового канала синхронизации в функции requireBasicAuth из-за использования небезопасного сравнения строк (!==). Это позволяет злоумышленнику посимвольно определить действительный пароль, измеряя время ответа сервера, эффективно обходя защиту сложности пароля.
Эта проблема исправлена в версии 2.0.1-rc.9.
Показать оригинальное описание (EN)
H3 is a minimal H(TTP) framework. Versions 2.0.1-beta.0 through 2.0.0-rc.8 contain a Timing Side-Channel vulnerability in the requireBasicAuth function due to the use of unsafe string comparison (!==). This allows an attacker to deduce the valid password character-by-character by measuring the server's response time, effectively bypassing password complexity protections. This issue is fixed in version 2.0.1-rc.9.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 9
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
H3 H3
cpe:2.3:a:h3:h3:2.0.0:*:*:*:*:node.js:*:*
|
— | — |
|
H3 H3
cpe:2.3:a:h3:h3:2.0.1:rc1:*:*:*:node.js:*:*
|
— | — |
|
H3 H3
cpe:2.3:a:h3:h3:2.0.1:rc2:*:*:*:node.js:*:*
|
— | — |
|
H3 H3
cpe:2.3:a:h3:h3:2.0.1:rc3:*:*:*:node.js:*:*
|
— | — |
|
H3 H3
cpe:2.3:a:h3:h3:2.0.1:rc4:*:*:*:node.js:*:*
|
— | — |
|
H3 H3
cpe:2.3:a:h3:h3:2.0.1:rc5:*:*:*:node.js:*:*
|
— | — |
|
H3 H3
cpe:2.3:a:h3:h3:2.0.1:rc6:*:*:*:node.js:*:*
|
— | — |
|
H3 H3
cpe:2.3:a:h3:h3:2.0.1:rc7:*:*:*:node.js:*:*
|
— | — |
|
H3 H3
cpe:2.3:a:h3:h3:2.0.1:rc8:*:*:*:node.js:*:*
|
— | — |