UPDATE: DFN-CERT-2015-0249 Node.js: Eine Schwachstelle ermöglicht das Ausweiten von Benutzerrechten [Linux][Fedora]

UPDATE: DFN-CERT-2015-0249 Node.js: Eine Schwachstelle ermöglicht das Ausweiten von Benutzerrechten [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (27.02.2015):
Für Fedora EPEL 6 und EPEL 7 werden Sicherheitsupdates in Form der Pakete
v8-3.14.5.10-17.el6, nodejs-0.10.36-3.el6,
libuv-0.10.34-1.el6 sowie v8-3.14.5.10-17.el7, nodejs-0.10.36-3.el7,
libuv-0.10.34-1.el7 im Status ‘testing’ veröffentlicht.
Version 1 (25.02.2015):
Neues Advisory

Betroffene Software:

Node.js

Betroffene Plattformen:

Red Hat Fedora 20
Red Hat Fedora 21
Extra Packages for Red Hat Enterprise Linux 6
Extra Packages for Red Hat Enterprise Linux 7

Eine Schwachstelle in nodejs ermöglicht einem lokalen, nicht
authentifizierten Angreifer das Ausweiten von Benutzerrechten. Für Fedora 20
werden Sicherheitsupdates in Form der Pakete v8-3.14.5.10-17.fc20,
nodejs-0.10.36-3.fc20 und libuv-0.10.34-1.fc20 (im Status “testing”), für
Fedora 21 in Form der Pakete v8-3.14.5.10-17.fc21, nodejs-0.10.36-3.fc21 und
libuv-0.10.34-1.fc21 (im Status “testing”) zur Verfügung gestellt.

Patch:

Fedora Security Update FEDORA-2015-2310

https://admin.fedoraproject.org/updates/FEDORA-2015-2310/nodejs-0.10.36-3.fc20,libuv-0.10.34-1.fc20,v8-3.14.5.10-17.fc20

Patch:

Fedora Security Update FEDORA-2015-2313

https://admin.fedoraproject.org/updates/FEDORA-2015-2313/nodejs-0.10.36-3.fc21,libuv-0.10.34-1.fc21,v8-3.14.5.10-17.fc21

Patch:

Fedora Security Update FEDORA-EPEL-2015-0862

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-0862/nodejs-0.10.36-3.el7,libuv-0.10.34-1.el7,v8-3.14.5.10-17.el7

Patch:

Fedora Security Update FEDORA-EPEL-2015-0864

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-0864/nodejs-0.10.36-3.el6,libuv-0.10.34-1.el6,v8-3.14.5.10-17.el6

CVE-2015-0278: Schwachstelle in nodejs ermöglicht das Ausweiten von
Benutzerrechten

Eine Schwachstelle in libuv führt dazu, dass vor dem Aufruf von
setuid/setgid kein Aufruf von setgroups erfolgt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0249/

Fedora Security Update FEDORA-2015-2310:
https://admin.fedoraproject.org/updates/FEDORA-2015-2310/nodejs-0.10.36-3.fc20,libuv-0.10.34-1.fc20,v8-3.14.5.10-17.fc20

Fedora Security Update FEDORA-2015-2313:
https://admin.fedoraproject.org/updates/FEDORA-2015-2313/nodejs-0.10.36-3.fc21,libuv-0.10.34-1.fc21,v8-3.14.5.10-17.fc21

Schwachstelle CVE-2015-0278 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0278

Fedora Security Update FEDORA-EPEL-2015-0862:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-0862/nodejs-0.10.36-3.el7,libuv-0.10.34-1.el7,v8-3.14.5.10-17.el7

Fedora Security Update FEDORA-EPEL-2015-0864:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-0864/nodejs-0.10.36-3.el6,libuv-0.10.34-1.el6,v8-3.14.5.10-17.el6

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben