2017-1061: Node.js, c-ares: Eine Schwachstelle ermöglicht das Ausspähen von Informationen

Historie:

Version 1 (2017-06-21 10:22)

Neues Advisory

Version 2 (2017-07-06 18:00)

Für die SUSE Linux Enterprise Produktvarianten Workstation Extension, Software Development Kit, Server for Raspberry Pi, Server und Desktop in der Version 12 SP2 stehen Sicherheitsupdates für 'libcares2' bereit, um die Schwachstelle zu beheben.

Version 3 (2017-07-14 12:06)

Für openSUSE Leap 42.2 steht ein Sicherheitsupdate für 'libcares2' bereit.

Version 4 (2017-07-17 11:10)

Für Fedora 24, 25 und 26 sowie für Fedora EPEL 7 stehen Sicherheitsupdates in Form der Pakete 'nodejs-4.8.4-6.fc24', 'nodejs-6.11.1-1.fc25', 'nodejs-6.11.1-1.fc26' und 'nodejs-6.11.1-1.el7' im Status 'testing' bereit.

Version 5 (2017-07-25 11:22)

Für Fedora 25 und 26 sowie für Fedora EPEL 7 stehen Sicherheitsupdates in Form der Pakete 'mingw-c-ares-1.13.0-1.fc25', 'mingw-c-ares-1.13.0-1.fc26' und 'mingw-c-ares-1.13.0-1.el7' im Status 'testing' bereit.

Version 6 (2017-07-27 13:37)

In der für Fedora EPEL 7 veröffentlichten Sicherheitsmeldung für Node.js (FEDORA-EPEL-2017-93f422baa0) wird nun auch die Schwachstelle CVE-2017-11499 referenziert. Änderungen am Paket wurden nicht vorgenommen. Für Anwender die dieses Paket bereits aktualisiert haben besteht kein Handlungsbedarf. Der Hersteller von Node.js hat mittlerweile die Versionen 8.1.4, 7.10.1 (beide Current), 6.11.1 (LTS) und 4.8.4 (Maintenance) zur Behebung der Schwachstellen zur Verfügung gestellt. Die Versionszweige 0.10.x und 0.12.x sind ebenfalls von CVE-2017-11499 betroffen, erhalten aber keine Sicherheitsupdates mehr.

Version 7 (2017-08-16 11:31)

Für SUSE OpenStack Cloud 7, SUSE Linux Enterprise Module for Web Scripting 12 und SUSE Enterprise Storage 4 stehen Sicherheitsupdates für 'nodejs4' und 'nodejs6' bereit, mit denen die Schwachstellen CVE-2017-1000381 und CVE-2017-11499 adressiert werden.

Version 8 (2017-08-17 13:59)

Die Sicherheitsupdates für 'nodejs4' und 'nodejs6', mit denen die Schwachstellen CVE-2017-1000381 und CVE-2017-11499 adressiert werden, stehen jetzt auch für openSUSE Leap 42.2 und 42.3 bereit. Die aktuell in diesen Distributionen verwendeten Versionen von Node.js sind damit 6.11.1 LTS und 4.8.4 LTS.

Version 9 (2017-08-18 11:42)

Canonical stellt für die Distributionen Ubuntu 17.04, Ubuntu 16.04 LTS und Ubuntu 14.04 LTS Sicherheitsupdates zur Behebung der Schwachstelle CVE-2017-1000381 bereit.

Version 10 (2017-10-18 16:17)

Für die Red Hat Software Collections 1 auf Red Hat Enterprise Linux 6, 6.7, 7 und 7.3 stehen Sicherheitsupdates für 'rh-nodejs6-nodejs' bereit, um die Schwachstelle zu beheben. Die Sicherheitsupdates stehen für Server und für RHEL 6 und 7 auch für Workstations zur Verfügung.

Version 11 (2017-10-23 15:50)

Es stehen weitere Sicherheitsupdates für für die Red Hat Software Collections 1 auf Red Hat Enterprise Linux 6, 6.7, 7 und 7.3 zur Verfügung. Diese beheben die Schwachstelle CVE-2017-11499 für 'rh-nodejs4', 'rh-nodejs4-node-gyp' und 'rh-nodejs4-nodejs' und stehen ebenfalls für RHEL für Server und Workstations zur Verfügung.

Betroffene Software

Entwicklung
Middleware
Server
Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
Linux

Beschreibung:

Eine Schwachstelle in c-ares ermöglicht einem entfernten, nicht authentisierten Angreifer mit Hilfe einer speziell präparierten DNS-Antwort Lesezugriffe auf Speicherbereiche außerhalb der gültigen Speichergrenzen durchzuführen und so Informationen auszuspähen.

Für Fedora 24, 25 und 26 steht c-ares in der Version 1.13.0 als Sicherheitsupdate bereit. Die Sicherheitsupdates für Fedora 24 und 25 befinden sich im Status 'testing' und das Sicherheitsupdate für Fedora 26 ist im Status 'pending'.

Schwachstellen:

CVE-2017-1000381

Schwachstelle in c-ares ermöglicht Ausspähen von Informationen

CVE-2017-11499

Schwachstelle in Node.js ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.