2016-0740: Node.js, OpenSSL: Zwei Schwachstellen ermöglichen einen Denial-of-Service-Angriff und das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2016-05-11 18:07)

Neues Advisory

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Zwei Schwachstellen in OpenSSL ermöglichen einem entfernten, nicht authentifizierten Angreifer einen Denial-of-Service-Angriff durch Korrumpierung des Heap-Speichers sowie als Mittelsmann (Man-in-the-middle) das Umgehen von Sicherheitsvorkehrungen.

Node.js 0.10.x und 0.12.x verwenden OpenSSL 1.0.1, Node.js 4.x, 5.x und 6.x verwenden OpenSSL. 1.0.2 Die Version 0.10.x ist nicht von der Schwachstelle CVE-2016-2105 betroffen. Es stehen die Programmversionen 0.10.45, 0.12.14, 4.4.4, 5.11.1 und 6.1.0 bereit, um die Schwachstellen zu beheben.

Für Fedora 24 steht ein Sicherheitsupdate auf Node.js 4.4.4 im Status 'testing' bereit.

Schwachstellen:

CVE-2016-2105

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriffe

CVE-2016-2107

Schwachstelle in OpenSSL ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.