2023-2512: Node.js: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2023-10-16 13:09)
- Neues Advisory
- Version 2 (2023-10-18 10:39)
- Für Fedora 37 und 38 stehen Sicherheitsupdates jeweils in Form von 'nodejs18-18.18.2-1'- und 'nodejs20-20.8.1-1'-Paketen im Status 'testing' bereit, um die Schwachstellen zu beheben. Hiermit wird die Software auf 2023-10-13, Version 18.18.2 'Hydrogen' (LTS) bzw. 2023-10-13, Version 20.8.1 (Current) aktualisiert.
- Version 3 (2023-11-17 14:30)
- Für Red Hat Enterprise Linux for x86_64 / ARM 64 8 (x86_64, aarch64) stehen Sicherheitsupdates für 'nodejs:20' zur Behebung der Schwachstellen zur Verfügung.
- Version 4 (2023-11-23 09:13)
- Für Oracle Linux 8 (x86_64, aarch64) stehen korrespondierende Sicherheitsupdates für 'nodejs:20' bereit, um die Schwachstellen zu beheben.
Betroffene Software
Entwicklung
Systemsoftware
Betroffene Plattformen
Apple
Linux
Microsoft
Oracle
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Eine Schwachstelle erfordert die Interaktion eines Benutzers.
Die CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY (CISA) führt die Schwachstelle CVE-2023-44487 in ihrem 'Known Exploited Vulnerabilities Catalog', da diese zumindest in anderen Produkten aktiv ausgenutzt wird.
Der Hersteller informiert über die Schwachstellen und veröffentlicht zu ihrer Behebung die Versionen 20.8.1 (Current) und 18.18.1 (LTS) von Node.js als Sicherheitsupdates.
Schwachstellen:
CVE-2023-38552
Schwachstelle in Node.js ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2023-39331
Schwachstelle in Node.js ermöglicht Manipulation von DateienCVE-2023-39332
Schwachstelle in Node.js ermöglicht Manipulation von DateienCVE-2023-39333
Schwachstelle in Node.js ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-44487
Schwachstelle in IETF HTTP/2-Implementierung ermöglicht Denial-of-Service-AngriffCVE-2023-45143
Schwachstelle in Undici ermöglicht Umgehen von Sicherheitsvorkehrungen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.