2020-2009: Node.js: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2020-09-16 15:38)

Neues Advisory

Version 2 (2020-09-21 10:25)

Für Fedora 31 und 32 Modular stehen Sicherheitsupdates für 'nodejs' auf die Versionen 12.18.4 und 14.11.0 bereit. Für Fedora 31 und 32 sowie für Fedora EPEL 7 stehen ebenfalls Sicherheitsupdates für 'nodejs' auf Version 12.18.4 bereit. Diese Updates beinhalten auch Aktualisierungen von 'libuv' auf Version 1.39.0. Alle aufgeführten Updates befinden sich im Status 'testing'.

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Zwei Schwachstellen in Node.js ermöglichen einem entfernten Angreifer das Durchführen eines Denial-of-Service (DoS)- und eines HTTP-Request-Smuggling-Angriffs. Eine weitere Schwachstelle in der Komponente libuv ermöglicht einem lokalen Angreifer mit üblichen Benutzerrechten das Ausführen beliebigen Programmcodes. Auch diese Schwachstelle kann im Kontext von Node.js möglicherweise aus der Ferne ausgenutzt werden.

Der Hersteller informiert über die Schwachstellen und veröffentlicht Node v10.22.1 (LTS), v12.18.4 (LTS) und v14.11.0 als Sicherheitsupdates. Die Schwachstelle CVE-2020-8251 existiert nur im Versionszweig 14.x und die Schwachstelle CVE-2020-8201 existiert nur in den Versionszweigen 12.x und 14.x.

Schwachstellen:

CVE-2020-8201

Schwachstelle in Node.js ermöglicht HTTP-Request-Smuggling-Angriff

CVE-2020-8251

Schwachstelle in Node.js ermöglicht Denial-of-Service-Angriff

CVE-2020-8252

Schwachstelle in libuv ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.