Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Node.js
Betroffene Plattformen:
Red Hat Fedora 22
Red Hat Fedora 23
Ein lokaler, nicht authentifizierter Angreifer kann durch die Validierung
speziell präparierter, ungültiger JSON-Daten vom Typ ‘utc-millisec’ den
‘Event Loop’ von Node.js blockieren und damit einen
Denial-of-Service-Angriff ausführen.
Fedora stellt für die Distributionen Fedora 22 und 23 mit den Paketen
nodejs-is-my-json-valid-2.12.4-1.fc22 im Status ‘pending’ und
nodejs-is-my-json-valid-2.12.4-1.fc23 im Status ‘testing’ Sicherheitsupdates
bereit.
Patch:
Fedora Security Update FEDORA-2016-25ab518a58 (Fedora 23)
https://bodhi.fedoraproject.org/updates/FEDORA-2016-25ab518a58
Patch:
Fedora Security Update FEDORA-2016-3441e9da2f (Fedora 22)
https://bodhi.fedoraproject.org/updates/FEDORA-2016-3441e9da2f
Red Hat Bug ID 1299498: Schwachstelle in Node.js ermöglicht
Denial-of-Service-Angriff
Bei der Prüfung von Daten im JSON-Schema in Node.js über ‘is-my-json-valid’
wird der reguläre Ausdruck für Eingangsdaten vom Typ ‘utc-millisec’ nicht
ausreichend in der Länge beschränkt. Die Prüfung speziell präparierter Daten
dieses Typs kann den ‘Event Loop’ von Node.js blockieren, der als
Einzelprozess eine beliebige Anzahl konkurrierender Prozesse im Hintergrund
abarbeitet.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0150/
Fedora Security Update FEDORA-2016-25ab518a58 (Fedora 23):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-25ab518a58
Fedora Security Update FEDORA-2016-3441e9da2f (Fedora 22):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-3441e9da2f
Red Hat Bug ID 1299498:
https://bugzilla.redhat.com/show_bug.cgi?id=1299498
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
