DFN-CERT

Advisory-Archiv

2021-1826: Red Hat Software Collections, Node.js: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2021-08-27 13:05)
Neues Advisory
Version 2 (2021-09-22 10:31)
Für Red Hat Enterprise Linux 8 (x86_64, aarch64), 8.4 Extended Update Support 8.4 (x86_64, aarch64), Red Hat Enterprise Linux Server - AUS / TUS 8.4 (x86_64) sowie Oracle Linux 8 (x86_64, aarch64) stehen Sicherheitsupdates für das Modul 'nodejs:12' bereit. Die älteren Schwachstellen CVE-2020-28469 und CVE-2020-7788 werden hierfür nicht referenziert.
Version 3 (2021-09-23 13:19)
Für Oracle Linux 8 (x86_64, aarch64) stehen Sicherheitsupdates für das Modul 'nodejs:12' bereit. Die älteren Schwachstellen CVE-2020-28469 und CVE-2020-7788 werden hierfür wiederum nicht referenziert.
Version 4 (2021-09-27 13:14)
Für Red Hat Enterprise Linux 8 (x86_64, aarch64), 8.4 Extended Update Support 8.4 (x86_64, aarch64), Red Hat Enterprise Linux Server - AUS / TUS 8.4 (x86_64) stehen Sicherheitsupdates für das Modul 'nodejs:14' bereit. Die älteren Schwachstellen CVE-2020-28469 und CVE-2020-7788 werden hierfür nicht referenziert.
Version 5 (2021-09-28 09:52)
Für Oracle Linux 8 (aarch64, x86_64) steht ein Sicherheitsupdate für das Modul 'nodejs:14' bereit. Die älteren Schwachstellen CVE-2020-28469 und CVE-2020-7788 werden hierfür nicht referenziert.

Betroffene Software

Entwicklung
Middleware
Server
Systemsoftware

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen, Dateien zu manipulieren, Sicherheitsvorkehrungen zu umgehen und einen Cross-Site-Scripting (XSS)-Angriff und verschiedene Denial-of-Service (DoS)-Angriffe durchzuführen. Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.

Red Hat stellt für Red Hat Software Collections 1 for RHEL 7 und 7.7 Sicherheitsupdates für die Pakete 'rh-nodejs12-nodejs', 'rh-nodejs12-nodejs-nodemon', 'rh-nodejs14-nodejs' und 'rh-nodejs14-nodejs-nodemon' zur Behebung der Schwachstellen bereit.

Schwachstellen:

CVE-2020-28469

Schwachstelle in nodejs-glob-parent ermöglicht Denial-of-Service-Angriff

CVE-2020-7788

Schwachstelle in ini ermöglicht u. a. Ausführung beliebigen Programmcodes

CVE-2021-22930

Schwachstelle in Node.js ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-22931

Schwachstelle in Node.js ermöglicht u. a. Cross-Site-Scripting-Angriff

CVE-2021-22939

Schwachstelle in Node.js ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-22940

Schwachstelle in Node.js ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-23343

Schwachstelle in path-parse ermöglicht Denial-of-Service-Angriff

CVE-2021-32803

Schwachstelle in node-tar ermöglicht Manipulation von Dateien

CVE-2021-32804

Schwachstelle in node-tar ermöglicht Manipulation von Dateien

CVE-2021-3672

Schwachstelle in c-ares ermöglicht Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.