2024-0887: Node.js: Zwei Schwachstellen ermöglichen u. a. einen Denial-of-Service-Angriff

Historie:

Version 1 (2024-04-04 18:19)

Neues Advisory

Version 2 (2024-04-09 08:57)

Für Fedora 39 steht ein Sicherheitsupdate in Form des Pakets 'nodejs20-20.12.1-3.fc39' im Status 'testing' bereit, um die Schwachstellen zu beheben.

Version 3 (2024-04-12 08:29)

Für Fedora 39 steht ein aktualisiertes Sicherheitsupdate in Form des Pakets 'nodejs20-20.12.2-1.fc39' im Status 'testing' bereit, um die Schwachstellen zu beheben. Das vorhergehende Sicherheitsupdate FEDORA-2024-91bb4ed803 ist dadurch in den Status 'obsolete' übergegangen und dessen Referenz wurde deshalb hier entfernt.

Version 4 (2024-04-16 17:16)

Für openSUSE Leap 15.3 und 15.4, SUSE Enterprise Storage 7.1, SUSE Linux Enterprise High Performance Computing 12 SP2, 12 SP3, 12 SP4, 12 SP5, 15 SP3, 15 SP3 LTSS, 15 SP4 und 15 SP4 ESPOS / LTSS, SUSE Linux Enterprise Server 12, 12 SP1, 12 SP2, 12 SP3, 12 SP4, 12 SP5, 15 SP3, 15 SP3 LTSS, 15 SP4 und 15 SP4 LTSS, SUSE Linux Enterprise Server for SAP Applications 12, 12 SP1, 12 SP2, 12 SP3, 12 SP4, 12 SP5, 15 SP3 und 15 SP4, SUSE Manager Server 4.3 sowie Web and Scripting Module 12 stehen Sicherheitsupdates für 'nodejs16' bereit, um die beiden Schwachstellen zu beheben.

Version 5 (2024-04-19 16:52)

Für SUSE Enterprise Storage 7.1, SUSE Linux Enterprise High Performance Computing 15 SP2, 15 SP2 LTSS, 15 SP3 und 15 SP3 LTSS, SUSE Linux Enterprise Server 15 SP2, 15 SP2 LTSS, 15 SP3 und 15 SP3 LTSS sowie SUSE Linux Enterprise Server for SAP Applications 15 SP2 und SUSE Linux Enterprise Server for SAP Applications 15 SP3 stehen Sicherheitsupdates für 'nodejs12' bereit, um die beiden Schwachstellen zu beheben.

Version 6 (2024-04-22 09:13)

Für SUSE Enterprise Storage 7.1, SUSE Linux Enterprise High Performance Computing 15 SP2, 15 SP2 LTSS, 15 SP3 und 15 SP3 LTSS, SUSE Linux Enterprise Server 15 SP2, 15 SP2 LTSS, 15 SP3 und 15 SP3 LTSS sowie SUSE Linux Enterprise Server for SAP Applications 15 SP2 und 15 SP3 stehen Sicherheitsupdates für 'nodejs14' bereit, um die beiden Schwachstellen zu beheben.

Version 7 (2024-06-04 09:17)

Für Red Hat Enterprise Linux for x86_64 / ARM 64 - Extended Update Support 9.0 (x86_64 , aarch64) und Red Hat Enterprise Linux Server for ARM 64 - 4 years of updates 9.0 (aarch64) stehen Sicherheitsupdates für 'nodejs' bereit, um die beiden Schwachstellen zu beheben.

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann zwei Schwachstellen aus der Ferne ausnutzen, um einen Denial-of-Service (DoS)-Angriff und einen HTTP-Request-Smuggling-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich.

Zur Behebung der Schwachstellen stehen die Node.js Sicherheitsupdates v18.20.1 LTS, v20.12.1 LTS und v21.7.2 bereit.

Schwachstellen:

CVE-2024-27982

Schwachstelle in Node.js ermöglicht HTTP-Request-Smuggling-Angriff

CVE-2024-27983

Schwachstelle in Node.js ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.