Platform
nodejs
Component
hapi
Opgelost in
2.2.0
CVE-2014-3742 beschrijft een Denial of Service (DoS) kwetsbaarheid in de hapi web framework. Deze kwetsbaarheid ontstaat door een file descriptor lek, wat kan leiden tot het vastlopen van de server. De kwetsbaarheid treft versies 2.0.x en 2.1.x van hapi. Een upgrade naar versie 2.2.0 of hoger is de aanbevolen oplossing.
Een succesvolle exploitatie van CVE-2014-3742 kan resulteren in een Denial of Service (DoS) aanval, waarbij de hapi server onbereikbaar wordt voor legitieme gebruikers. Door herhaaldelijk de kwetsbaarheid te triggeren, kan een aanvaller een file descriptor lek veroorzaken. Dit leidt tot een uitputting van beschikbare file descriptors, waardoor de node process crasht en de server niet meer functioneert. De impact is significant, omdat de beschikbaarheid van de web applicatie die gebruik maakt van hapi volledig wordt aangetast. Er zijn geen andere bekende side effects of exploits naast de DoS.
CVE-2014-3742 is openbaar bekend en de exploitatie is relatief eenvoudig. Er zijn geen bekende actieve campagnes gerelateerd aan deze specifieke kwetsbaarheid, maar de DoS impact maakt het een aantrekkelijk doelwit. De kwetsbaarheid werd gepubliceerd op 2017-10-24. Er zijn geen KEV vermeldingen bekend.
Exploit Status
EPSS
0.73% (73% percentiel)
De primaire mitigatie voor CVE-2014-3742 is het upgraden van hapi naar versie 2.2.0 of hoger. Deze versie bevat de correctie voor het file descriptor lek. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het verhogen van de process file descriptor limit. Hoewel dit de impact niet volledig elimineert, kan het de server langer operationeel houden. Implementeer monitoring om ongebruikelijk hoog file descriptor gebruik te detecteren, wat kan wijzen op een actieve aanval. Na de upgrade, verifieer de fix door de kwetsbaarheid te reproduceren met de bekende trigger en te controleren of de server niet meer crasht.
Geen officiële patch beschikbaar. Zoek naar tijdelijke oplossingen of monitor updates.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2014-3742 is a denial-of-service vulnerability in hapi versions 2.0.x and 2.1.x. Repeated requests cause a file descriptor leak, crashing the server. It has a CVSS score of 7.5 (HIGH).
You are affected if you are using hapi versions 2.0.x or 2.1.x. Check your hapi version using npm list -g hapi or node -e 'console.log(require("hapi").version())'. If the version is vulnerable, you need to upgrade.
Upgrade to hapi version 2.2.0 or later. This resolves the file descriptor leak. As a temporary workaround, implement rate limiting or monitor file descriptor usage.
There is no current evidence of active exploitation campaigns targeting CVE-2014-3742. However, systems running vulnerable versions remain at risk.
Refer to the hapi project's release notes and security advisories on their GitHub repository: https://github.com/hapijs/hapi/releases
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.