2018-0596: Node.js: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-04-03 15:05)

Neues Advisory

Version 2 (2018-05-11 11:53)

Für die Distribution openSUSE Leap 42.3 sowie für SUSE OpenStack Cloud 7, Linux Enterprise Module for Web Scripting 12 und Enterprise Storage 4 stehen Sicherheitsupdates für 'nodejs6' zur Behebung der Schwachstellen zur Verfügung.

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
Apple
Linux
Microsoft

Beschreibung:

Mehrere Schwachstellen in Node.js ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausführen beliebigen Programmcodes, die Durchführung eines Denial-of-Service (DoS)-Angriffs und die Beeinträchtigung der Systemintegrität.

Der Hersteller stellt die Node.js Versionen 9.10.0, 8.11.0, 6.14.0 und 4.9.0 zur Behebung der Schwachstellen zur Verfügung. Zusätzlich wird mittels der Sicherheitsupdates OpenSSL auf die Version 1.0.2o aktualisiert und somit die Schwachstelle CVE-2018-0739 behoben, die nach Herstellerangaben jedoch keine Auswirkungen auf Node.js haben soll.

Für Fedora 26, 27 und Fedora EPEL 7 stehen Sicherheitsupdates in Form der Pakete 'nodejs-6.14.0-1.fc26', 'nodejs-8.11.0-1.fc27', 'libuv-1.19.2-1.fc27', 'nodejs-6.14.0-1.el7' und 'libuv-1.19.2-1.el7' im Status 'testing' zur Behebung der Schwachstellen zur Verfügung.

Schwachstellen:

CVE-2018-7158

Schwachstelle in Node.js ermöglicht Denial-of-Service-Angriff

CVE-2018-7159

Schwachstelle in Node.js ermöglicht nicht spezifizierte Angriffe

CVE-2018-7160

Schwachstelle in Node.js ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.