2017-2237: Node.js: Mehrere Schwachstellen ermöglichen u.a. das Umgehen von Sicherheitsvorkehrungen
Historie:
- Version 1 (2017-12-11 15:19)
- Neues Advisory
- Version 2 (2018-01-02 13:31)
- Für SUSE Linux Enterprise Module for Web Scripting 12 und SUSE Enterprise Storage 4 stehen Sicherheitsupdates für 'nodejs4' auf Version 4.8.7 zur Verfügung. Mit diesen Updates werden zusätzlich die Schwachstellen CVE-2017-3735 und CVE-2017-3736 im eingebetteten OpenSSL adressiert, die bereits mit Node.js 4.8.6 behoben wurden.
- Version 3 (2018-01-08 11:27)
- Für openSUSE Leap 42.2 und 42.3 stehen Sicherheitsupdates für 'nodejs4' auf Version 4.8.7 zur Verfügung. Mit diesen Updates werden zusätzlich die Schwachstellen CVE-2017-3735 und CVE-2017-3736 im eingebetteten OpenSSL und CVE-2017-14919 im eingebetteten zlib adressiert, die bereits mit Node.js 4.8.6 und 4.8.5 behoben wurden.
- Version 4 (2018-01-30 17:06)
- Für SUSE OpenStack Cloud 7, SUSE Linux Enterprise Module for Web Scripting 12 und SUSE Enterprise Storage 4 stehen Sicherheitsupdates für 'nodejs6' auf Version 6.12.2 (LTS) zur Verfügung. Mit diesen Updates werden zusätzlich die Schwachstellen CVE-2017-3735 und CVE-2017-3736 im eingebetteten OpenSSL adressiert.
Betroffene Software
Entwicklung
Systemsoftware
Betroffene Plattformen
Netzwerk
Cloud
Apple
Linux
Microsoft
Beschreibung:
Mehrere Schwachstellen in Node.js ermöglichen einem entfernten, nicht authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen und das Ausspähen von Informationen.
Der Hersteller bietet die Versionen 4.8.7, 6.12.2, 8.9.3 und 9.2.1 als Sicherheitsupdates an, wobei die Schwachstelle CVE-2017-15897 nur für die Versionszweige 8.x und 9.x relevant ist.
Für Fedora 27 und Fedora EPEL 7 stehen die Pakete 'nodejs-8.9.3-2.fc27' und 'nodejs-6.12.2-1.el7' im Status 'testing' zur Verfügung.
Schwachstellen:
CVE-2017-15896
Schwachstelle in Node.js ermöglicht Umgehen von SicherheitsmechanismenCVE-2017-15897
Schwachstelle in Node.js ermöglicht Ausspähen von InformationenCVE-2017-3738
Schwachstelle in OpenSSL ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.