2020-0038: Node.js, npm: Mehrere Schwachstellen ermöglichen u. a. die Manipulation von Dateien
Historie:
- Version 1 (2020-01-09 14:08)
- Neues Advisory
- Version 2 (2020-01-10 16:23)
- Für SUSE Linux Enterprise Module for Web Scripting 12 steht ein Sicherheitsupdate für 'nodejs10' auf Version 10.18.0 zur Behebung der Schwachstellen CVE-2019-16775, CVE-2019-16776 und CVE-2019-16777 bereit.
- Version 3 (2020-01-15 11:28)
- Für openSUSE Leap 15.1 steht ein Sicherheitsupdate für 'nodejs8' auf Version 8.17.0 zur Behebung der Schwachstellen CVE-2019-16775, CVE-2019-16776 und CVE-2019-16777 bereit.
- Version 4 (2020-01-15 17:17)
- Für SUSE Linux Enterprise Module for Web Scripting 15 und 15 SP1 stehen Sicherheitsupdates für 'nodejs10' auf Version 10.18.0 zur Behebung der Schwachstellen CVE-2019-16775, CVE-2019-16776 und CVE-2019-16777 bereit.
- Version 5 (2020-01-28 18:18)
- Für SUSE OpenStack Cloud 7, SUSE OpenStack Cloud Crowbar 8 und 9 sowie SUSE Linux Enterprise Module for Web Scripting 12 stehen Sicherheitsupdates für 'nodejs6' auf Version 6.17.1 zur Behebung der Schwachstellen CVE-2019-16775, CVE-2019-16776 und CVE-2019-16777 bereit.
Betroffene Software
Entwicklung
Systemsoftware
Betroffene Plattformen
Netzwerk
Cloud
Linux
Beschreibung:
Mehrere Schwachstellen in npm ermöglichen einem meist entfernten, nicht authentisierten Angreifer die Manipulation von Dateien, wodurch unter anderem ein Denial-of-Service (DoS)-Zustand erzeugt werden kann, und das Ausspähen von Informationen. Eine weitere Schwachstelle in Node.js ermöglicht einen Denial-of-Service-Angriff.
Für Fedora 31, Fedora 30 Modular, Fedora 31 Modular, SUSE Linux Enterprise Module for Web Scripting 15 und 15 SP1 stehen Sicherheitsupdates auf verschiedene Node.js Releases zur Behebung der Schwachstellen bereit.
Schwachstellen:
CVE-2019-16775
Schwachstelle in npm ermöglicht Manipulation von DateienCVE-2019-16776
Schwachstelle in npm ermöglicht u. a. Manipulation von DateienCVE-2019-16777
Schwachstelle in npm ermöglicht u. a. Manipulation von DateienCVE-2019-17592
Schwachstelle in Node.js ermöglicht Denial-of-Service-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.