2021-1500: Node.js: Mehrere Schwachstellen ermöglichen u. a. einen Denial-of-Service-Angriff
Historie:
- Version 1 (2021-07-15 14:33)
- Neues Advisory
- Version 2 (2021-07-16 10:11)
- Für SUSE Manager Proxy, Server und Retail Branch Server jeweils in Version 4.0, Enterprise Storage 6, CaaS Platform 4.0, die SUSE Linux Enterprise Produkte Server for SAP 15 und 15 SP1, Server 15 LTSS, 15 SP1 BCL und 15 SP1 LTSS, High Performance Computing 15 /15 SP1 LTSS/ESPOS stehen Sicherheitsupdates für 'nodejs10' auf Version 10.24.1 zur Verfügung, die alle aufgeführten Schwachstellen adressieren. Für SUSE Linux Enterprise Module for Web Scripting 15 SP2 und SP3 sowie openSUSE Leap 15.3 stehen Sicherheitsupdates für 'nodejs14' auf Version 14.17.2 bereit, welche die Schwachstellen CVE-2020-7774, CVE-2021-22918, CVE-2021-23362 und CVE-2021-27290 adressieren.
- Version 3 (2021-07-16 11:27)
- Für openSUSE Leap 15.3 steht ebenfalls ein Sicherheitsupdate für 'nodejs10' auf die Version 10.24.1 bereit, mit dem alle aufgeführten Schwachstellen behoben werden.
- Version 4 (2021-07-20 11:21)
- Für die Distribution openSUSE Leap 15.2 stehen Sicherheitsupdates für 'nodejs10' auf Version 10.24.1, 'nodejs12' auf Version 12.22.2 und 'nodejs14' auf Version 14.17.2 zur Verfügung, die im Fall von 'nodejs14' einen Teil der Schwachstellen und ansonsten alle aufgeführten Schwachstellen adressieren.
Betroffene Software
Entwicklung
Systemsoftware
Betroffene Plattformen
Cloud
Linux
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen und verschiedene Denial-of-Service (DoS)-Angriffe durchzuführen.
Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich.
SUSE veröffentlicht für SUSE Linux Enterprise Module for Web Scripting 12 Sicherheitsupdates auf die Node.js Versionen 14.17.2, 12.22.2 und 10.24.1 sowie für SUSE Linux Enterprise Module for Web Scripting 15 SP2 und SP3 auf die Node.js Version 12.22.2. Mittels der Updates werden die referenzierten Schwachstellen oder im Fall des Updates für 'nodejs14' ein Teil der aufgeführten Schwachstellen behoben.
Für die Distribution openSUSE Leap 15.3 steht ein Sicherheitsupdate für 'nodejs12' auf die Version 12.22.2 bereit.
Schwachstellen:
CVE-2020-7774
Schwachstelle in y18n ermöglicht Ausführen beliebigen ProgrammcodesCVE-2021-22918
Schwachstelle in libuv ermöglicht u. a. Denial-of-Service-AngriffCVE-2021-23362
Schwachstelle in hosted-git-info ermöglicht Denial-of-Service-AngriffCVE-2021-27290
Schwachstelle in ssri ermöglicht Denial-of-Service-AngriffCVE-2021-3449
Schwachstelle in OpenSSL ermöglicht Denial-of-Service-AngriffCVE-2021-3450
Schwachstelle in OpenSSL ermöglicht Umgehen von Sicherheitsvorkehrungen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.