2020-1164: Node.js: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2020-06-03 16:02)

Neues Advisory

Version 2 (2020-06-08 10:11)

Für Debian 10 Buster (stable) steht ebenfalls ein Sicherheitsupdate für 'nodejs' auf Version 10.21.0~dfsg-1~deb10u1 zur Verfügung, welches die Schwachstellen CVE-2020-8174 und CVE-2020-11080 adressiert.

Version 3 (2020-06-09 19:19)

Für die SUSE Linux Enterprise Server Produkte for SAP 15 und 15 LTSS, SUSE Linux Enterprise Module for Web Scripting 15 SP1 und SP2 sowie SUSE Linux Enterprise High Performance Computing 15 ESPOS und LTSS stehen Sicherheitsupdates für 'nodejs10' zur Behebung der Schwachstellen CVE-2020-10531, CVE-2020-11080 und CVE-2020-8174 auf die Version 10.21.0 zur Verfügung. Zusätzlich wird 'npm' auf die Version 6.14.3 aktualisiert und damit die Schwachstelle CVE-2020-7598 adressiert, die einem entfernten Angreifer die Ausführung beliebigen Programmcodes erlaubt.

Version 4 (2020-06-10 11:26)

SUSE veröffentlicht jetzt auch für SUSE Linux Enterprise Module for Web Scripting 12 ein Sicherheitsupdate für 'nodejs10' auf die Version 10.21.0, um neben den Schwachstellen CVE-2020-10531, CVE-2020-11080 und CVE-2020-8174 die Schwachstelle CVE-2020-7598 in 'npm' zu beheben, die von einem entfernten Angreifer für die Ausführung beliebigen Programmcodes ausgenutzt werden kann. Für die SUSE Linux Enterprise Server Produkte for SAP 15 und 15 LTSS, SUSE Linux Enterprise Module for Web Scripting 15 SP1 und SP2 sowie SUSE Linux Enterprise High Performance Computing 15 ESPOS und LTSS stehen Sicherheitsupdates für 'nodejs8' bereit, welche die zuvor erwähnte npm-Schwachstelle CVE-2020-7598 sowie CVE-2020-11080 und CVE-2020-8174 adressieren.

Version 5 (2020-06-11 17:49)

SUSE veröffentlicht jetzt für SUSE Linux Enterprise Module for Web Scripting 12 auch ein Sicherheitsupdate für 'nodejs12' auf die Version 12.18.0, um die Schwachstellen CVE-2020-11080, CVE-2020-8172 und CVE-2020-8174 zu beheben. Hiermit wird auch 'npm' auf Version 6.13.6 aktualisiert, um die bereits erwähnte Schwachstelle CVE-2020-7598 zu adressieren.

Version 6 (2020-06-15 11:22)

Für openSUSE Leap 15.1 steht ein Sicherheitsupdate für 'nodejs8' bereit, welches die zuvor erwähnte npm-Schwachstelle CVE-2020-7598 sowie CVE-2020-11080 und CVE-2020-8174 behebt.

Version 7 (2020-06-16 19:14)

Für SUSE OpenStack Cloud in den Versionen 7, Crowbar 8 und 9 sowie SUSE Linux Enterprise Module for Web Scripting 12 stehen Sicherheitsupdates für 'nodejs6' zur Behebung der Schwachstelle CVE-2020-8174 zur Verfügung. Zusätzlich wird auch die Schwachstelle CVE-2020-7598 in 'npm' behoben.

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen ermöglichen einem entfernten Angreifer das Ausführen beliebigen Programmcodes und die Durchführung von Denial-of-Service (DoS)-Angriffen.

Der Hersteller informiert über die Schwachstellen und veröffentlicht Node v10.21.0 (LTS), v12.18.0 (LTS) und v14.4.0 als Sicherheitsupdates. Die Schwachstelle CVE-2020-10531 existiert nur im Versionszweig 10.x und wird mit der Version 10.20.1 behoben, während die Schwachstelle CVE-2020-8172 diesen Versionszweig nicht betrifft.

Schwachstellen:

CVE-2020-10531

Schwachstelle in International Components for Unicode (ICU) ermöglicht Ausführung beliebigen Programmcodes

CVE-2020-11080

Schwachstelle in Node.js ermöglicht Denial-of-Service-Angriff

CVE-2020-8172

Schwachstelle in Node.js ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-8174

Schwachstelle in Node.js ermöglicht u. a. Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.