2021-2640: Node.js: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2021-12-17 15:40)

Neues Advisory

Version 2 (2021-12-20 10:22)

Für Oracle Linux 8 (aarch64, x86_64) steht ein Sicherheitsupdate für 'nodejs:16' bereit, um die Schwachstellen zu beheben.

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um durch das Umgehen von Sicherheitsvorkehrungen HTTP-Request-Smuggling-Angriffe durchzuführen, durch die Manipulation von Objekten beliebigen Programmcode zur Ausführung zu bringen und verschiedene Regular-Expression-Denial-of-Service (ReDoS)-Angriffe durchzuführen

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich.

Red Hat veröffentlicht für Red Hat Enterprise Linux for x86_64 und for ARM 64 8 aktualisierte 'nodejs:16'-Pakete, um die Schwachstellen zu beheben.

Schwachstellen:

CVE-2020-28469

Schwachstelle in nodejs-glob-parent ermöglicht Denial-of-Service-Angriff

CVE-2020-7788

Schwachstelle in ini ermöglicht u. a. Ausführung beliebigen Programmcodes

CVE-2021-22959

Schwachstelle in Node.js ermöglicht HTTP-Request-Smuggling-Angriff

CVE-2021-22960

Schwachstelle in Node.js ermöglicht HTTP-Request-Smuggling-Angriff

CVE-2021-33502

Schwachstelle in Node.js ermöglicht Denial-of-Service-Angriff

CVE-2021-3807

Schwachstelle in node-ansi-regex ermöglicht Denial-of-Service-Angriff

CVE-2021-3918

Schwachstelle in nodejs-json-schema ermöglicht u. a. Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.