DFN-CERT

Advisory-Archiv

2021-1800: Node.js: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2021-08-25 11:32)
Neues Advisory
Version 2 (2021-08-31 09:29)
Für openSUSE Leap 15.3 sowie SUSE Linux Enterprise Module for Web Scripting 15 SP2 und 15 SP3 stehen Sicherheitsupdates für 'nodejs12' auf Version 12.22.5 bereit, um die fünf Schwachstellen zu beheben.
Version 3 (2021-08-31 15:47)
Für openSUSE Leap 15.2 steht ein Sicherheitsupdate für 'nodejs12' auf Version 12.22.5 bereit, um die fünf Schwachstellen zu beheben.
Version 4 (2021-09-06 10:06)
Für SUSE Linux Enterprise Module for Web Scripting 15 SP2 und openSUSE Leap 15.3 stehen Sicherheitsupdates für 'nodejs10' zur Behebung der Schwachstellen CVE-2021-22930, CVE-2021-22931, CVE-2021-22939 und CVE-2021-3672 zur Verfügung.
Version 5 (2021-09-07 18:19)
Für openSUSE Leap 15.2 steht ein Sicherheitsupdate für 'nodejs10' zur Behebung der Schwachstellen CVE-2021-22930, CVE-2021-22931, CVE-2021-22939 und CVE-2021-3672 zur Verfügung.
Version 6 (2021-09-23 12:44)
Für SUSE Linux Enterprise Module for Web Scripting 12 stehen Sicherheitsupdates für 'nodejs14' bereit, um die fünf Schwachstellen zu beheben.
Version 7 (2021-09-24 11:19)
Die Schwachstellen werden für openSUSE Leap 15.3 sowie SUSE Linux Enterprise Module for Web Scripting 15 SP2 und SP3 auch in 'nodejs14' adressiert.
Version 8 (2021-09-28 16:44)
Für openSUSE Leap 15.2 steht ein Sicherheitsupdate für 'nodejs14' bereit, um die fünf Schwachstellen zu beheben.

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, Cross-Site-Scripting (XSS)-Angriffe und einen Denial-of-Service (DoS)-Angriff durchzuführen. Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Zwei Schwachstellen erfordern die Interaktion eines Benutzers.

Für SUSE Linux Enterprise Module for Web Scripting 12 stehen Sicherheitsupdate für die Pakete 'nodejs10' und 'nodejs12' bereit, um die Schwachstellen zu beheben.

Schwachstellen:

CVE-2021-22930

Schwachstelle in Node.js ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-22931

Schwachstelle in Node.js ermöglicht u. a. Cross-Site-Scripting-Angriff

CVE-2021-22939

Schwachstelle in Node.js ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-22940

Schwachstelle in Node.js ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-3672

Schwachstelle in c-ares ermöglicht Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.