2020-0391: Node.js: Mehrere Schwachstellen ermöglichen u. a. HTTP-Request-Smuggling-Angriffe
Historie:
- Version 1 (2020-02-25 17:31)
- Neues Advisory
- Version 2 (2020-02-26 10:30)
- Für Red Hat Enterprise Linux 7, 7.5, 7.6 und 7.7 stehen Sicherheitsupdates für 'rh-nodejs12-nodejs' und 'rh-nodejs10-nodejs' bereit, mit denen die Schwachstellen für Red Hat Software Collections 1 adressiert werden.
- Version 3 (2020-02-27 13:15)
- Für Oracle Linux 8 (aarch64, x86_64) steht ein Sicherheitsupdate bereit, mit dem die Schwachstellen in 'nodejs:10' adressiert werden. Die betroffene Software wird damit auf Version 10.19.0 aktualisiert.
Betroffene Software
Entwicklung
Middleware
Server
Systemsoftware
Betroffene Plattformen
Linux
Oracle
Beschreibung:
Mehrere Schwachstellen in Node.js ermöglichen einem entfernten Angreifer die Durchführung von HTTP-Request-Smuggling-Angriffen und einen Denial-of-Service (DoS)-Angriff. Weitere Schwachstellen in npm ermöglichen einem entfernten Angreifer mit üblichen Benutzerrechten die Manipulation von Dateien, das Ausspähen von Informationen und die Durchführung eines weiteren Denial-of-Service (DoS)-Angriffs. Ein erfolgreicher Angriff erfordert bei den meisten der Schwachstellen die Interaktion eines Benutzers.
Red Hat stellt für Red Hat Enterprise Linux 8 Sicherheitsupdates zur Behebung der Schwachstellen im 'nodejs:10'-Modul bereit.
Schwachstellen:
CVE-2019-15604
Schwachstelle in Node.js ermöglicht Denial-of-Service-AngriffCVE-2019-15605
Schwachstelle in Node.js ermöglicht HTTP-Request-Smuggling-AngriffCVE-2019-15606
Schwachstelle in Node.js ermöglicht HTTP-Request-Smuggling-AngriffCVE-2019-16775
Schwachstelle in npm ermöglicht Manipulation von DateienCVE-2019-16776
Schwachstelle in npm ermöglicht u. a. Manipulation von DateienCVE-2019-16777
Schwachstelle in npm ermöglicht u. a. Manipulation von Dateien
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.