2020-2276: Node.js: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2020-10-20 13:31)
- Neues Advisory
- Version 2 (2020-10-21 12:12)
- Für Oracle Linux 8 (aarch64, x86_64) steht ein entsprechendes Sicherheitsupdate für 'nodejs:12' bereit, um die Schwachstellen zu beheben.
- Version 3 (2020-11-05 13:24)
- Für Red Hat Enterprise Linux 8.1 Extended Update Support stehen Sicherheitsupdates zur Behebung der Schwachstellen im 'nodejs:12'-Modul bereit.
- Version 4 (2020-11-12 15:24)
- Für Red Hat Software Collections (for RHEL Server) 1 für RHEL 7, 7.6 und 7.7 sowie Red Hat Software Collections (for RHEL Workstation) 1 für RHEL 7 stehen Sicherheitsupdates zur Behebung der Schwachstellen in 'rh-nodejs12-nodejs' bereit.
Betroffene Software
Entwicklung
Middleware
Server
Systemsoftware
Betroffene Plattformen
Linux
Oracle
Beschreibung:
Zwei Schwachstellen ermöglichen einem entfernten Angreifer das Durchführen eines HTTP-Request-Smuggling-Angriffs und die Ausführung beliebigen Programmcodes. Eine Schwachstelle in der Komponente libuv ermöglicht einem lokalen Angreifer mit üblichen Benutzerrechten das Ausführen beliebigen Programmcodes. Auch diese Schwachstelle kann im Kontext von Node.js möglicherweise aus der Ferne ausgenutzt werden. Eine weitere Schwachstelle ermöglicht einem lokalen Angreifer mit üblichen Benutzerrechten das Ausspähen von Informationen.
Red Hat stellt für Red Hat Enterprise Linux 8 und Red Hat Enterprise Linux - Extended Update Support 8.2 jeweils für x86_64- und ARM 64-Architekturen sowie für Red Hat Enterprise Linux Server - AUS 8.2 und TUS 8.2 (x86_64) Sicherheitsupdates für 'nodejs:12' bereit, um die Schwachstellen zu beheben.
Schwachstellen:
CVE-2020-15095
Schwachstelle in npm ermöglicht Ausspähen von InformationenCVE-2020-8116
Schwachstelle in dot-prop ermöglicht Ausführen beliebigen ProgrammcodesCVE-2020-8201
Schwachstelle in Node.js ermöglicht HTTP-Request-Smuggling-AngriffCVE-2020-8252
Schwachstelle in libuv ermöglicht Ausführen beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.