DFN-CERT-2016-1038 Node.js: Zwei Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes [Linux][Fedora][Windows]

DFN-CERT-2016-1038 Node.js: Zwei Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes [Linux][Fedora][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Node.js 0.10.x
Node.js 0.12.x
Node.js 4.x
Node.js 5.x
Node.js 6.x

Betroffene Plattformen:

Microsoft Windows
Microsoft Windows Server 2003
Microsoft Windows XP
Red Hat Fedora 23
Red Hat Fedora 24

Zwei Schwachstellen in Node.js ermöglicht einem entfernten, nicht
authentifizierten Angreifer die Ausführung beliebigen Programmcodes und
einen Denial-of-Service-Angriff.

Die Schwachstelle CVE-2016-1669 betrifft alle Versioneszweige von Node.js,
wobei der Versionszweig v6 nur bis Version 6.2.0 verwundbar ist. Die
Schwachstelle CVE-2014-9748 betrifft die Versionszweige 0.10 und 0.12 auf
Windows XP- und Windows 2003 Server-Systemen. Es stehen die
Programmversionen 0.10.46, 0.12.15, 4.4.6 und 5.12.0 als Sicherheitsupdates
zur Verfügung.

Für Fedora 23 und 24 stehen mit den Paketen ‘nodejs-0.10.46-1.fc23’ und
‘nodejs-4.4.6-2.fc24’ Sicherheitsupdates im Status ‘testing’ zur Verfügung,
die die Schwachstelle CVE-2016-1669 beheben.

Patch:

Fedora Security Update FEDORA-2016-f90dc5ee3e (Fedora 24, nodejs-4.4.6)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-f90dc5ee3e

Patch:

Fedora Security Update FEDORA-2016-fcccb0a547 (Fedora 23, nodejs-0.10.46)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-fcccb0a547

Patch:

Node.js Release Notes June 2016

https://nodejs.org/en/blog/vulnerability/june-2016-security-releases/

CVE-2014-9748: Schwachstelle in libuv ermöglicht Denial-of-Service-Angriff

Der wechselseitige Ausschluss eines Schreibvorgangs (Fallback Write Mutex)
kann durch einen Prozess wieder freigegeben werden, der diesen nicht
ausgelöst hat. Dies führt zu einem unspezifizierten Verhalten. Ein
entfernter, nicht authentifizierter Angreifer kann dadurch einen
Denial-of-Service-Angriff (DoS) und möglicherweise weitere Angriffe
ausführen.

CVE-2016-1669: Schwachstelle in V8 ermöglicht Ausführen beliebigen
Programmcodes

Die Funktion ‘Zone::New’ in ‘zone.cc’ in der Komponente Google V8 bevor
5.0.71.47, wie verwendet in Google Chrome und Chromium vor Version
50.0.2661.102 sowie Node.js, enthält eine nicht näher spezifizierte
Schwachstelle durch die der Pufferspeicher zum Überlauf gebracht werden kann
(Buffer overflow). Ein entfernter, nicht authentifizierter Angreifer kann
diese Schwachstelle für einen Denial-of-Service (DoS)-Angriff oder
möglicherweise sogar zum Ausführen beliebigen Programmcodes ausnutzen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1038/

Schwachstelle CVE-2016-1669 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1669

Fedora Security Update FEDORA-2016-f90dc5ee3e (Fedora 24, nodejs-4.4.6):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-f90dc5ee3e

Fedora Security Update FEDORA-2016-fcccb0a547 (Fedora 23, nodejs-0.10.46):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-fcccb0a547

Node.js Release Notes June 2016:
https://nodejs.org/en/blog/vulnerability/june-2016-security-releases/

Schwachstelle CVE-2014-9748 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9748

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben