2020-1096: marked: Mehrere Schwachstellen ermöglichen u. a. einen Denial-of-Service Angriff

Historie:

Version 1 (2020-05-25 14:08)

Neues Advisory

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Es existieren mehrere Schwachstellen in marked, einer Anwendung, die zum Parsen und Kompilieren von Markdown gedacht ist und mit Node.js genutzt wird. Eine Schwachstelle ermöglicht es einem entfernten Angreifer einen Denial-of-Service (DoS)-Angriff durchzuführen. Zwei weitere Schwachstellen ermöglichen es einem entfernten Angreifer Cross-Site Scripting (XSS)-Angriffe durchzuführen. Ein erfolgreicher Angriff erfordert dabei die Interaktion eines Benutzers und kann Einfluss auf andere Komponenten betroffener Systeme haben.

Für Fedora 30, 31 und 32 stehen Sicherheitsupdates in Form von 'marked-1.1.0-3'-Paketen im Status 'testing' bereit, um die Schwachstellen zu beheben. Fedora führt den Schwachstellenbezeichner CVE-2016-1000013 unter den Bugs auf. Dieser wurde von NVD allerdings als 'rejected' gekennzeichnet, da er ein Duplicat von CVE-2016-10531 darstellt. Diese CVE soll stattdessen verwendet werden.

Schwachstellen:

CVE-2015-8854

Schwachstelle in marked ermöglicht Denial-of-Service-Angriff

CVE-2016-10531

Schwachstelle in marked ermöglicht Cross-Site-Scripting-Angriff

CVE-2017-1000427

Schwachstelle in marked ermöglicht Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.