2021-0409: Node.js: Mehrere Schwachstellen ermöglichen u. a. Denial-of-Service-Angriffe

Historie:

Version 1 (2021-02-24 11:19)

Neues Advisory

Version 2 (2021-02-25 17:55)

Für Debian 10 Buster (stable) steht ein Sicherheitsupdate für 'nodejs' in Version 10.24.0~dfsg-1~deb10u1 zur Verfügung.

Version 3 (2021-03-01 09:29)

Für SUSE Linux Enterprise Module for Web Scripting 12 und 15 SP2 sowie openSUSE Leap 15.2 stehen Sicherheitsupdates für 'nodejs12' auf die LTS Version 12.21.0 und 'nodejs14' auf die LTS Version 14.16.0 bereit.

Version 4 (2021-03-02 18:36)

Für die SUSE Manager Produkte Server, Retail Branch Server und Proxy jeweils in Version 4.0, die SUSE Linux Enterprise Produkte Server for SAP 15 und 15 SP1, Server 15 LTSS und 15 SP1 BCL / LTSS, Module for Web Scripting 12 und 15 SP2, High Performance Computing 15 ESPOS / LTSS und 15 SP1 ESPOS / LTSS sowie für SUSE Enterprise Storage 6 und SUSE CaaS Platform 4.0 stehen Sicherheitsupdates für 'nodejs10' auf die LTS Version 10.24.0 zur Verfügung.

Version 5 (2021-03-03 09:24)

Für SUSE Linux Enterprise Module for Web Scripting 15 SP2 steht ein Sicherheitsupdate für 'nodejs8' bereit, welches die Schwachstelle CVE-2021-22884 adressiert. Für openSUSE Leap 15.2 steht ein Sicherheitsupdate für 'nodejs10' auf die LTS Version 10.24.0 zur Verfügung, um alle drei Schwachstellen zu beheben.

Version 6 (2021-03-04 14:51)

Für Fedora 32 und 33 (Modular) stehen Sicherheitsupdates in Form der Pakete 'nodejs-12.21.0-2.fc32', 'nodejs-14.16.0-1.fc33' und weiterer im Status 'testing' bereit, um die Schwachstellen CVE-2021-22883 und CVE-2021-22884 zu beheben.

Version 7 (2021-03-05 16:20)

Für Red Hat Enterprise Linux 8 stehen Sicherheitsupdates für die Module 'nodejs:10' und 'nodejs:12' bereit, um die Schwachstellen CVE-2021-22883 und CVE-2021-22884 zu beheben.

Version 8 (2021-03-08 09:33)

Für openSUSE Leap 15.2 steht ein Sicherheitsupdate für 'nodejs8' bereit, welches die Schwachstelle CVE-2021-22884 adressiert.

Version 9 (2021-03-08 11:12)

Für Oracle Linux 8 (aarch64, x86_64) stehen Sicherheitsupdates für 'nodejs:10' und 'nodejs:12' bereit, um die Schwachstellen CVE-2021-22883 und CVE-2021-22884 zu beheben.

Version 10 (2021-03-08 11:49)

Für Fedora 32 und 33 Modular stehen weitere Sicherheitsupdates in Form der Pakete nodejs-15-3220210303194449.43bbeeef und 'nodejs-15-3320210303194449.601d93de' im Status 'testing' bereit, um die Schwachstellen CVE-2021-22883 und CVE-2021-22884 zu beheben.

Version 11 (2021-03-09 08:35)

Für Red Hat Enterprise Linux 8.1 Extended Update Support und 8.2 Extended Update Support stehen Sicherheitsupdates für die Module 'nodejs:10' und 'nodejs:12' sowie für Red Hat Enterprise Linux 8 Sicherheitsupdates für das Modul 'nodejs:14' bereit, um jeweils die Schwachstellen CVE-2021-22883 und CVE-2021-22884 zu beheben.

Version 12 (2021-03-09 18:04)

Für Oracle Linux 8 (aarch64, x86_64) stehen Sicherheitsupdates für 'nodejs:14' bereit, um die Schwachstellen CVE-2021-22883 und CVE-2021-22884 zu beheben.

Version 13 (2021-03-15 21:29)

Red Hat stellt für Red Hat Software Collections 1 for RHEL 7, 7.6 und 7.7 Sicherheitsupdates für 'rh-nodejs14-nodejs', 'rh-nodejs12-nodejs' und 'rh-nodejs10-nodejs' zur Behebung der Schwachstellen CVE-2021-22883 und CVE-2021-22884 bereit.

Betroffene Software

Entwicklung
Middleware
Server
Sicherheit
Systemsoftware

Betroffene Plattformen

Cloud
Linux
Oracle

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Denial-of-Service (DoS)-Angriffe und möglicherweise weitere Angriffe durchzuführen. Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich.

Der Hersteller informiert über die Schwachstellen und veröffentlicht zu ihrer Behebung die Versionen 10.24.0 (LTS), 12.21.0 (LTS), 14.16.0 (LTS) und 15.10.0 (Current).

Schwachstellen:

CVE-2021-22883

Schwachstelle in Node.js ermöglicht Denial-of-Service-Angriff

CVE-2021-22884

Schwachstelle in Node.js ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-23840

Schwachstelle in OpenSSL ermöglicht u. a. Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.