DFN-CERT-2016-1292 Minimatch: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][RedHat]

DFN-CERT-2016-1292 Minimatch: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

minimatch < 3.0.2 Betroffene Plattformen: Red Hat Software Collections 1 RHEL 6 Red Hat Software Collections 1 RHEL 7 Ein entfernter, nicht authentifizierter Angreifer kann einen Denial-of-Service (DoS)-Angriff ausführen, indem er eine mit Minimatch verknüpfte Anwendung zur Verarbeitung einer speziell präparierten Zeichenkette bringt. Node Security informiert über die Schwachstelle im Modul Minimatch vor Version 3.0.2. Mittlerweile steht die Programmversion 3.0.3 als Update zur Verfügung. Für die Red Hat Software Collections 1 für RHEL 6 und 7 stehen Sicherheitsupdates für die Pakete 'nodejs010-nodejs-minimatch' und 'rh-nodejs4-nodejs-minimatch' bereit. Patch: Node Security Advisory 118 https://nodesecurity.io/advisories/118

Patch:

Red Hat Security Advisory RHSA-2016:1582

https://rhn.redhat.com/errata/RHSA-2016-1582.html

Patch:

Red Hat Security Advisory RHSA-2016:1583

https://rhn.redhat.com/errata/RHSA-2016-1583.html

CVE-2016-1000023: Schwachstelle in Minimatch ermöglicht
Denial-of-Service-Angriff

Der Parameter ‘pattern’ beim Funktionsaufruf von ‘minimatch(path, pattern)’
ist für einen Denial-of-Service-Angriff mittels eines regulären Ausdrucks
(Regular Expression Denial-of-Service, ReDoS) anfällig, da der Ausdruck
‘((?:\\{2})*)’ an einer Stelle im Programmcode mit ‘\\’ matcht, was bei
langen Zeichenketten sich wiederholender umgekehrter Schrägstriche
(Backslashes) zu einer großen Anzahl möglicher Pfade führt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1292/

Schwachstelle CVE-2016-1000023 (Red Hat):
https://access.redhat.com/security/cve/CVE-2016-1000023

Node Security Advisory 118:
https://nodesecurity.io/advisories/118

Red Hat Security Advisory RHSA-2016:1582:
https://rhn.redhat.com/errata/RHSA-2016-1582.html

Red Hat Security Advisory RHSA-2016:1583:
https://rhn.redhat.com/errata/RHSA-2016-1583.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben