2020-2157: Node.js: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2020-10-02 12:30)

Neues Advisory

Version 2 (2020-10-02 18:55)

Für die SUSE Linux Enterprise Produkte Server for SAP 15, Server 15 LTSS, Module for Web Scripting 15 SP1 und 15 SP2 sowie High Performance Computing 15 ESPOS und 15 LTSS stehen Sicherheitsupdates für 'nodejs10' bereit, um zwei der Schwachstellen und einen weiteren, nicht sicherheitsrelevanten Fehler zu beheben.

Version 3 (2020-10-05 14:54)

Für openSUSE Leap 15.2 steht ein Sicherheitsupdate für 'nodejs12' bereit, um die Schwachstellen und einen weiteren, nicht sicherheitsrelevanten Fehler zu beheben.

Version 4 (2020-10-12 18:05)

Für openSUSE Leap 15.2 steht ein Sicherheitsupdate für 'nodejs10' bereit, um zwei der Schwachstellen und einen weiteren, nicht sicherheitsrelevanten Fehler zu beheben.

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen in Node.js und in von Node.js verwendeten Komponenten ermöglichen es einem lokalen Angreifer mit üblichen Benutzerrechten beliebigen Programmcode zur Ausführung zu bringen und Informationen auszuspähen. Zudem kann ein entfernter Angreifer einen HTTP-Request-Smuggling-Angriff durchführen.

Für SUSE Linux Enterprise Module for Web Scripting 12 und 15 SP2 stehen Sicherheitsupdates für 'nodejs10' und 'nodejs12' bereit, um die Schwachstellen zu beheben.

Schwachstellen:

CVE-2020-15095

Schwachstelle in npm ermöglicht Ausspähen von Informationen

CVE-2020-8201

Schwachstelle in Node.js ermöglicht HTTP-Request-Smuggling-Angriff

CVE-2020-8252

Schwachstelle in libuv ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.