Plateforme
nodejs
Composant
hapi
Corrigé dans
2.2.0
La vulnérabilité CVE-2014-3742 est une faille de déni de service (DoS) affectant les versions 2.0.x et 2.1.x du framework hapi pour Node.js. Cette faille permet à un attaquant de provoquer une fuite de descripteurs de fichiers, ce qui peut entraîner l'épuisement des ressources du serveur et sa perte de disponibilité. La mise à jour vers la version 2.2.0 ou supérieure est recommandée pour corriger cette vulnérabilité.
Un attaquant peut exploiter cette vulnérabilité en envoyant des requêtes spécialement conçues qui déclenchent la fuite de descripteurs de fichiers. La répétition de ces requêtes épuise les descripteurs disponibles, empêchant le serveur de traiter de nouvelles demandes. Cela conduit à un état de déni de service, rendant l'application hapi inaccessible aux utilisateurs légitimes. L'impact est proportionnel à la limite de descripteurs de fichiers du processus, et l'attaquant n'a pas d'autres accès ou modifications de données. Bien que cette vulnérabilité ne permette pas l'exécution de code arbitraire, elle peut perturber gravement les services.
Cette vulnérabilité a été rendue publique en 2017. Il n'y a pas d'indications d'une exploitation active à grande échelle, mais la simplicité de l'exploitation rend la vulnérabilité potentiellement dangereuse. Aucun exploit public n'a été largement diffusé, mais la vulnérabilité est présente dans de nombreuses applications Node.js et pourrait être exploitée si elle est découverte.
Statut de l'Exploit
EPSS
0.73% (percentile 73%)
La mitigation principale consiste à mettre à jour hapi vers la version 2.2.0 ou supérieure, qui corrige la fuite de descripteurs de fichiers. Si la mise à jour n'est pas immédiatement possible, il est possible de temporairement augmenter la limite de descripteurs de fichiers du processus Node.js, mais cela ne constitue pas une solution à long terme et peut masquer d'autres problèmes. Surveiller l'utilisation des descripteurs de fichiers est également recommandé pour détecter une éventuelle exploitation. Après la mise à jour, vérifiez la fonctionnalité en effectuant des tests de charge pour vous assurer que le serveur peut gérer un trafic normal sans épuiser les ressources.
Aucun correctif officiel disponible. Recherchez des alternatives ou surveillez les mises à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2014-3742 is a denial-of-service vulnerability in hapi versions 2.0.x and 2.1.x. Repeated requests cause a file descriptor leak, crashing the server. It has a CVSS score of 7.5 (HIGH).
You are affected if you are using hapi versions 2.0.x or 2.1.x. Check your hapi version using npm list -g hapi or node -e 'console.log(require("hapi").version())'. If the version is vulnerable, you need to upgrade.
Upgrade to hapi version 2.2.0 or later. This resolves the file descriptor leak. As a temporary workaround, implement rate limiting or monitor file descriptor usage.
There is no current evidence of active exploitation campaigns targeting CVE-2014-3742. However, systems running vulnerable versions remain at risk.
Refer to the hapi project's release notes and security advisories on their GitHub repository: https://github.com/hapijs/hapi/releases
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.