2018-1175: Node.js: Mehrere Schwachstellen ermöglichen verschiedene Denial-of-Service-Angriffe
Historie:
- Version 1 (2018-06-18 15:14)
- Neues Advisory
- Version 2 (2018-06-20 12:47)
- Für Fedora 28 Modular steht ein Sicherheitsupdate im Status 'testing' zur Verfügung, mit dem Node.js in Version 10.4.1 bereitgestellt wird.
- Version 3 (2018-07-06 11:35)
- Für SUSE OpenStack Cloud 7 und 8 (Crowbar), SUSE Linux Enterprise Module for Web Scripting 12 sowie für SUSE Enterprise Storage 4 stehen Sicherheitsupdates zur Behebung der Schwachstelle CVE-2018-7167 in 'nodejs6' bereit. Die Software wird damit auf Version 6.14.3 aktualisiert.
- Version 4 (2018-07-09 18:16)
- Für SUSE Linux Enterprise Module for Web Scripting 15 steht ein Sicherheitsupdate zur Behebung der Schwachstellen CVE-2018-7161, CVE-2018-7167 und CVE-2018-1000168 in 'nodejs8' bereit. Die Software wird damit auf Version 8.11.3 aktualisiert.
- Version 5 (2018-07-16 12:22)
- Für openSUSE Leap 15.0 steht ein Sicherheitsupdate zur Behebung der Schwachstellen CVE-2018-1000168, CVE-2018-7161 und CVE-2018-7167 in 'nodejs8' bereit. Die Software wird damit auf Version 8.11.3 aktualisiert. Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für 'nodejs6' zur Behebung der Schwachstelle CVE-2018-7167 bereit. Die Software wird damit auf Version 6.14.3 aktualisiert.
Betroffene Software
Entwicklung
Systemsoftware
Betroffene Plattformen
Netzwerk
Cloud
Apple
Linux
Microsoft
Beschreibung:
Mehrere Schwachstellen in Node.js ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung verschiedener Denial-of-Service-Angriffe.
Der Hersteller stellt Node.js in den Versionen 6.14.3 (LTS 'Boron'), 8.11.3 (LTS 'Carbon'), 9.11.2 sowie 10.4.1 (Current) zur Behebung der Schwachstellen zur Verfügung. Die einzelnen Schwachstellen betreffen unterschiedliche Versionszweige der Software. Die Schwachstelle CVE-2018-1000168 in Node.js 9.x wird durch eine Aktualisierung der verwendeten Version von Nghttp2 behoben.
Fedora stellt für Fedora 27 und 28 sowie für Fedora EPEL 7 die Pakete 'nodejs-8.11.3-1.fc27', 'nodejs-8.11.3-1.fc28' sowie 'nodejs-6.14.3-1.el7' im Status 'testing' zur Behebung der Schwachstellen zur Verfügung. Die Software wird damit auf die Versionen 8.11.3 bzw. 6.14.3 aktualisiert.
Schwachstellen:
CVE-2018-1000168
Schwachstelle in Nghttp2 ermöglicht Denial-of-Service-AngriffCVE-2018-7161
Schwachstelle in Node.js ermöglicht Denial-of-Service-AngriffCVE-2018-7162
Schwachstelle in Node.js ermöglicht Denial-of-Service-AngriffCVE-2018-7164
Schwachstelle in Node.js ermöglicht Denial-of-Service-AngriffCVE-2018-7167
Schwachstelle in Node.js ermöglicht Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.