2020-0255: Node.js: Mehrere Schwachstellen ermöglichen u. a. HTTP-Request-Smuggling-Angriffe
Historie:
- Version 1 (2020-02-06 16:36)
- Neues Advisory
- Version 2 (2020-02-07 10:19)
- Für Fedora EPEL 8 Modular steht ein Sicherheitsupdate im Status 'testing' bereit, mit dem Node.js auf Version 12.15.0 aktualisiert wird.
- Version 3 (2020-02-10 11:14)
- Für Fedora 31 steht ein Sicherheitsupdate im Status 'testing' bereit, mit dem 'nodejs' auf Version 12.15.0 aktualisiert wird. Gleichzeitig werden Updates für 'libuv' und 'nghttp2' bereitgestellt. Weitere Sicherheitsupdates für 'nodejs' auf Version 12.15.0 und 10.19.0 werden für Fedora 30 und 31 Modular veröffentlicht und für Fedora 30 steht ein Sicherheitsudpate auf Version 10.19.0 bereit.
- Version 4 (2020-02-20 16:26)
- Für SUSE Linux Enterprise Module for Web Scripting 12 steht ein Sicherheitsupdate auf die Node.js Version 10.19.0 zur Behebung der Schwachstellen bereit.
- Version 5 (2020-02-25 17:11)
- Für SUSE Linux Enterprise Server for SAP 15, SUSE Linux Enterprise Server 15 LTSS, SUSE Linux Enterprise Module for Web Scripting 15 und 15 SP1 sowie SUSE Linux Enterprise High Performance Computing 15 LTSS und 15 ESPOS stehen Sicherheitsupdates für 'nodejs8' und 'nodejs10' bereit, mit denen die Schwachstellen adressiert werden. Mit dem Update für 'nodejs10' wird die betroffene Software auf Version 10.19.0 aktualisiert.
- Version 6 (2020-02-26 10:32)
- Red Hat veröffentlicht für Red Hat Enterprise Linux 8 ein Sicherheitsupdate für das 'nodejs:12'-Modul auf Version 12.16.1, um die Schwachstellen zu adressieren.
- Version 7 (2020-02-27 12:30)
- Für SUSE OpenStack Cloud 7, SUSE OpenStack Cloud Crowbar 8 und 9 sowie SUSE Linux Enterprise Module for Web Scripting 12 stehen Sicherheitsupdates zur Behebung der Schwachstellen in 'nodejs6' bereit. Für Oracle Linux 8 steht ein Sicherheitsupdate bereit, mit dem 'nodejs:12' auf Version 12.16.1 aktualisiert wird.
- Version 8 (2020-03-04 10:23)
- Für openSUSE Leap 15.1 steht ein Sicherheitsupdate zur Behebung der Schwachstellen in 'nodejs8' bereit.
Betroffene Software
Entwicklung
Systemsoftware
Betroffene Plattformen
Netzwerk
Cloud
Linux
Oracle
Beschreibung:
Mehrere Schwachstellen in Node.js ermöglichen einem entfernten Angreifer verschiedene HTTP-Request-Smuggling-Angriffe und einen Denial-of-Service (DoS)-Angriff.
Der Hersteller informiert über die Schwachstellen und veröffentlicht Node v10.19.0 (LTS), v12.15.0 (LTS) und v13.8.0 als Sicherheitsupdates.
Schwachstellen:
CVE-2019-15604
Schwachstelle in Node.js ermöglicht Denial-of-Service-AngriffCVE-2019-15605
Schwachstelle in Node.js ermöglicht HTTP-Request-Smuggling-AngriffCVE-2019-15606
Schwachstelle in Node.js ermöglicht HTTP-Request-Smuggling-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.