2021-0012: Node.js: Mehrere Schwachstellen ermöglichen u. a. Denial-of-Service-Angriffe

Historie:

Version 1 (2021-01-05 15:35)

Neues Advisory

Version 2 (2021-01-07 11:33)

Für Fedora 33 steht ein Sicherheitsupdate für Node.js auf Version 14.15.4 im Status 'testing' bereit. Das Sicherheitsupdate für Fedora 32 auf Version 12.20.1 befindet sich noch im Status 'pending'. Weitere Sicherheitsupdates stehen mit den Versionen 10.23.1, 12.20.1 und 14.15.4 für für Fedora 32 und 33 Modular im Status 'testing' zur Verfügung. Hierbei werden die Schwachstellen CVE-2020-8265 und CVE-2020-8267 für alle Versionen aufgeführt.

Version 3 (2021-01-08 12:00)

Debian stellt für Debian 10 Buster (stable) ein Sicherheitsupdate zur Verfügung, das die Schwachstellen CVE-2020-8265 und CVE-2020-8267 in 'nodejs' adressiert. Die betroffene Software wird damit auf Version 10.23.1 aktualisiert.

Version 4 (2021-01-11 21:37)

Für SUSE Linux Enterprise High Performance Computing 15 ESPOS und LTSS, SUSE Linux Enterprise Module for Web Scripting 15 SP1 und SP2, SUSE Linux Enterprise Server 15 LTSS sowie SUSE Linux Enterprise Server for SAP 15 stehen Sicherheitsupdates für 'nodejs10' auf Version 10.23.1 zur Verfügung. Darüber hinaus wird 'nodejs12' SUSE Linux Enterprise Module for Web Scripting 12 auf Version 12.20.1 aktualisiert. Für SUSE Linux Enterprise Module for Web Scripting 15 SP2 steht ebenfalls ein Update für 'nodejs12' auf Version 12.20.1 und zusätzlich ein Update für 'nodejs14' auf Version 14.15.4 zur Verfügung. In beiden Fällen wird auch die Denial-of-Service (DoS)-Schwachstelle CVE-2020-8277 aus einer früheren Version der Software behoben.

Version 5 (2021-01-13 00:32)

Für SUSE Linux Enterprise Module for Web Scripting 12 steht ein Sicherheitsupdate bereit, mit dem die Schwachstellen in 'nodejs10' behoben werden. Die betroffene Software wird damit auf Version 10.23.1 aktualisiert.

Version 6 (2021-01-13 17:39)

Für SUSE Linux Enterprise Module for Web Scripting 12 steht ein weiteres Sicherheitsupdate bereit, mit dem die relevanten Schwachstellen in 'nodejs14' behoben werden. Die betroffene Software wird damit auf Version 14.15.4 aktualisiert.

Version 7 (2021-01-18 09:15)

Für openSUSE Leap 15.1 und openSUSE Leap 15.2 stehen Sicherheitsupdates für 'nodejs10' auf die LTS Version 10.23.1 bereit, um diese Schwachstellen zu beheben. Für openSUSE Leap 15.2 stehen zudem Sicherheitsupdates für 'nodejs12' auf die LTS version 12.20.1 und 'nodejs14' auf die LTS Version 14.15.4 zur Verfügung, welche auch die bereits mit früheren Releases behobene Schwachstelle CVE-2020-8277 in 'c-ares' adressieren, die ebenfalls einen Denial-of-Service (DoS)-Angriff ermöglicht.

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um einen HTTP-Request-Smuggling-Angriff, Denial-of-Service (DoS)-Angriffe und möglicherweise weitere Angriffe durchzuführen.

Der Hersteller bestätigt die Schwachstellen und veröffentlicht zu ihrer Behebung die Versionen 10.23.1 (LTS), 12.20.1 (LTS), 14.15.4 (LTS) und 15.5.1 (Current).

Schwachstellen:

CVE-2020-1971

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2020-8265

Schwachstelle in Node.js ermöglicht Denial-of-Service-Angriff

CVE-2020-8287

Schwachstelle in Node.js ermöglicht HTTP-Request-Smuggling-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.