2023-1755: Node.js: Mehrere Schwachstellen ermöglichen u. a. das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2023-08-01 15:29): Neues Advisory
Version 2 (2023-08-02 14:03): Oracle stellt ein Sicherheitsupdate zur Behebung der Schwachstellen in 'nodejs' für Oracle Linux 9 (aarch64, x86_64) zur Verfügung.
Version 3 (2023-08-09 11:54): Red Hat veröffentlicht für Red Hat Enterprise Linux for x86_64 und for ARM 64 8 und EUS 8.8 sowie Red Hat Enterprise Linux Server TUS 8.8 x86_64 Sicherheitsupdates für 'nodejs:18' und 'nodejs:16' zur Behebung der referenzierten Schwachstellen.
Version 4 (2023-08-10 09:44): Für Oracle Linux 8 (aarch64, x86_64) stehen korrespondierende Sicherheitsupdates für 'nodejs:18' und 'nodejs:16' zur Behebung der referenzierten Schwachstellen bereit.
Version 5 (2023-08-15 16:01): Für Oracle Linux 9 (aarch64, x86_64) stehen korrespondierende Sicherheitsupdates für 'nodejs' zur Behebung der referenzierten Schwachstellen bereit.

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Sicherheitsvorkehrungen zu umgehen und einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich.

Für Red Hat Enterprise Linux 9 (x86_64, aarch64), Red Hat Enterprise Linux for x86_64 / ARM 64 - Extended Update Support 9.2 (x86_64, aarch64), Red Hat Enterprise Linux Server for ARM 64 - 4 years of updates 9.2 aarch64 sowie Red Hat Enterprise Linux Server AUS 9.2 (x86_64) stehen Sicherheitsupdates für 'nodejs' und 'nodejs:18' zur Verfügung, um die Schwachstellen zu beheben.

Schwachstellen:

CVE-2023-30581

Schwachstelle in Node.js ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-30588

Schwachstelle in Node.js ermöglicht Denial-of-Service-Angriff

CVE-2023-30589

Schwachstelle in Node.js ermöglicht HTTP-Request-Smuggling-Angriff

CVE-2023-30590