2017-1905: Node.js: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff

Historie:

Version 1 (2017-10-27 16:26)

Neues Advisory

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann diese Schwachstelle mit Hilfe eines bestehenden oder selbst angepassten WebSocket-Clients in einer Anfrage mit dem Wert '8' für 'windowsBits' ausnutzen und einen Denial-of-Service (DoS)-Zustand herbeiführen. Möglicherweise ist die Schwachstelle auch über weitere Vektoren der zlib-Bibliothek ausnutzbar, in denen eine von außerhalb initiierte Anfrage den Wert '8' als Resultat für den Parameter 'windowBits' ergibt.

Der Hersteller bestätigt die Schwachstelle in den Versionen 4.8.2 und später, 6.10.2 und später sowie 8.x stellt die Versionen 8.8.0, 6.11.5 und 4.8.5 als Sicherheitsupdates bereit.

Für Fedora 25 und 26 sowie für Fedora EPEL 7 steht Node.js in der Version 6.11.5 als Sicherheitsupdate im Status 'pending' zur Verfügung, um die Schwachstelle zu beheben.

Schwachstellen:

CVE-2017-14919

Schwachstelle in Node.js ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.