DFN-CERT

Advisory-Archiv

2020-0255: Node.js: Mehrere Schwachstellen ermöglichen u. a. HTTP-Request-Smuggling-Angriffe

Historie:

Version 1 (2020-02-06 16:36)
Neues Advisory
Version 2 (2020-02-07 10:19)
Für Fedora EPEL 8 Modular steht ein Sicherheitsupdate im Status 'testing' bereit, mit dem Node.js auf Version 12.15.0 aktualisiert wird.
Version 3 (2020-02-10 11:14)
Für Fedora 31 steht ein Sicherheitsupdate im Status 'testing' bereit, mit dem 'nodejs' auf Version 12.15.0 aktualisiert wird. Gleichzeitig werden Updates für 'libuv' und 'nghttp2' bereitgestellt. Weitere Sicherheitsupdates für 'nodejs' auf Version 12.15.0 und 10.19.0 werden für Fedora 30 und 31 Modular veröffentlicht und für Fedora 30 steht ein Sicherheitsudpate auf Version 10.19.0 bereit.
Version 4 (2020-02-20 16:26)
Für SUSE Linux Enterprise Module for Web Scripting 12 steht ein Sicherheitsupdate auf die Node.js Version 10.19.0 zur Behebung der Schwachstellen bereit.
Version 5 (2020-02-25 17:11)
Für SUSE Linux Enterprise Server for SAP 15, SUSE Linux Enterprise Server 15 LTSS, SUSE Linux Enterprise Module for Web Scripting 15 und 15 SP1 sowie SUSE Linux Enterprise High Performance Computing 15 LTSS und 15 ESPOS stehen Sicherheitsupdates für 'nodejs8' und 'nodejs10' bereit, mit denen die Schwachstellen adressiert werden. Mit dem Update für 'nodejs10' wird die betroffene Software auf Version 10.19.0 aktualisiert.
Version 6 (2020-02-26 10:32)
Red Hat veröffentlicht für Red Hat Enterprise Linux 8 ein Sicherheitsupdate für das 'nodejs:12'-Modul auf Version 12.16.1, um die Schwachstellen zu adressieren.
Version 7 (2020-02-27 12:30)
Für SUSE OpenStack Cloud 7, SUSE OpenStack Cloud Crowbar 8 und 9 sowie SUSE Linux Enterprise Module for Web Scripting 12 stehen Sicherheitsupdates zur Behebung der Schwachstellen in 'nodejs6' bereit. Für Oracle Linux 8 steht ein Sicherheitsupdate bereit, mit dem 'nodejs:12' auf Version 12.16.1 aktualisiert wird.
Version 8 (2020-03-04 10:23)
Für openSUSE Leap 15.1 steht ein Sicherheitsupdate zur Behebung der Schwachstellen in 'nodejs8' bereit.

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
Linux
Oracle

Beschreibung:

Mehrere Schwachstellen in Node.js ermöglichen einem entfernten Angreifer verschiedene HTTP-Request-Smuggling-Angriffe und einen Denial-of-Service (DoS)-Angriff.

Der Hersteller informiert über die Schwachstellen und veröffentlicht Node v10.19.0 (LTS), v12.15.0 (LTS) und v13.8.0 als Sicherheitsupdates.

Schwachstellen:

CVE-2019-15604

Schwachstelle in Node.js ermöglicht Denial-of-Service-Angriff

CVE-2019-15605

Schwachstelle in Node.js ermöglicht HTTP-Request-Smuggling-Angriff

CVE-2019-15606

Schwachstelle in Node.js ermöglicht HTTP-Request-Smuggling-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.