DFN-CERT

Advisory-Archiv

2020-0391: Node.js: Mehrere Schwachstellen ermöglichen u. a. HTTP-Request-Smuggling-Angriffe

Historie:

Version 1 (2020-02-25 17:31)
Neues Advisory
Version 2 (2020-02-26 10:30)
Für Red Hat Enterprise Linux 7, 7.5, 7.6 und 7.7 stehen Sicherheitsupdates für 'rh-nodejs12-nodejs' und 'rh-nodejs10-nodejs' bereit, mit denen die Schwachstellen für Red Hat Software Collections 1 adressiert werden.
Version 3 (2020-02-27 13:15)
Für Oracle Linux 8 (aarch64, x86_64) steht ein Sicherheitsupdate bereit, mit dem die Schwachstellen in 'nodejs:10' adressiert werden. Die betroffene Software wird damit auf Version 10.19.0 aktualisiert.

Betroffene Software

Entwicklung
Middleware
Server
Systemsoftware

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Mehrere Schwachstellen in Node.js ermöglichen einem entfernten Angreifer die Durchführung von HTTP-Request-Smuggling-Angriffen und einen Denial-of-Service (DoS)-Angriff. Weitere Schwachstellen in npm ermöglichen einem entfernten Angreifer mit üblichen Benutzerrechten die Manipulation von Dateien, das Ausspähen von Informationen und die Durchführung eines weiteren Denial-of-Service (DoS)-Angriffs. Ein erfolgreicher Angriff erfordert bei den meisten der Schwachstellen die Interaktion eines Benutzers.

Red Hat stellt für Red Hat Enterprise Linux 8 Sicherheitsupdates zur Behebung der Schwachstellen im 'nodejs:10'-Modul bereit.

Schwachstellen:

CVE-2019-15604

Schwachstelle in Node.js ermöglicht Denial-of-Service-Angriff

CVE-2019-15605

Schwachstelle in Node.js ermöglicht HTTP-Request-Smuggling-Angriff

CVE-2019-15606

Schwachstelle in Node.js ermöglicht HTTP-Request-Smuggling-Angriff

CVE-2019-16775

Schwachstelle in npm ermöglicht Manipulation von Dateien

CVE-2019-16776

Schwachstelle in npm ermöglicht u. a. Manipulation von Dateien

CVE-2019-16777

Schwachstelle in npm ermöglicht u. a. Manipulation von Dateien

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.