2020-1096: marked: Mehrere Schwachstellen ermöglichen u. a. einen Denial-of-Service Angriff
Historie:
- Version 1 (2020-05-25 14:08)
- Neues Advisory
Betroffene Software
Entwicklung
Systemsoftware
Betroffene Plattformen
Linux
Beschreibung:
Es existieren mehrere Schwachstellen in marked, einer Anwendung, die zum Parsen und Kompilieren von Markdown gedacht ist und mit Node.js genutzt wird. Eine Schwachstelle ermöglicht es einem entfernten Angreifer einen Denial-of-Service (DoS)-Angriff durchzuführen. Zwei weitere Schwachstellen ermöglichen es einem entfernten Angreifer Cross-Site Scripting (XSS)-Angriffe durchzuführen. Ein erfolgreicher Angriff erfordert dabei die Interaktion eines Benutzers und kann Einfluss auf andere Komponenten betroffener Systeme haben.
Für Fedora 30, 31 und 32 stehen Sicherheitsupdates in Form von 'marked-1.1.0-3'-Paketen im Status 'testing' bereit, um die Schwachstellen zu beheben. Fedora führt den Schwachstellenbezeichner CVE-2016-1000013 unter den Bugs auf. Dieser wurde von NVD allerdings als 'rejected' gekennzeichnet, da er ein Duplicat von CVE-2016-10531 darstellt. Diese CVE soll stattdessen verwendet werden.
Schwachstellen:
CVE-2015-8854
Schwachstelle in marked ermöglicht Denial-of-Service-AngriffCVE-2016-10531
Schwachstelle in marked ermöglicht Cross-Site-Scripting-AngriffCVE-2017-1000427
Schwachstelle in marked ermöglicht Cross-Site-Scripting-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.