Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Red Hat Software Collections 1 RHEL 6
Red Hat Software Collections 1 RHEL 7

Betroffene Plattformen:

Red Hat Enterprise Linux 6
Red Hat Enterprise Linux 7

Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle im
‘ljharb qs’-Modul für Node.js ausnutzen, indem er mit einer speziell
präparierten Anfrage Funktionen überschreibt, um dadurch einen
Denial-of-Service (DoS)-Zustand (Absturz des Webframeworks) auszulösen,
sobald eine dieser Funktionen ausgeführt wird.

Red Hat stellt Sicherheitsupdates für die Red Hat Software Collections 1
(for RHEL Server / Workstation) für Red Hat Enterprise Linuc 6 und 7 in Form
aktualisierter ‘rh-nodejs6-nodejs-qs’-Pakete (6.2.3) bereit, um diese
Schwachstelle zu adressieren.

Patch:

Red Hat Security Advisory RHSA-2017:2672

https://access.redhat.com/errata/RHSA-2017:2672

CVE-2017-1000048: Schwachstelle in ‘ljharb qs’-Modul für Node.js ermöglicht
Denial-of-Service-Angriff

Im ‘ljharb qs’-Modul für Node.js in den Versionen vor 6.0.4, vor 6.1.2, vor
6.2.3 und vor 6.3.2 existiert eine Schwachstelle aufgrund des unsauberen
Parsens von ‘Query Strings’. Dadurch ist es möglich mit einer speziell
präparierten Anfrage die resultierenden ‘Prototype Properties’ des Objektes
zu überschreiben, wie beispielsweise die Funktionen ‘toString()’ oder
‘hasOwnProperty()’.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1591/

Schwachstelle CVE-2017-1000048 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-1000048

Red Hat Security Advisory RHSA-2017:2672:
https://access.redhat.com/errata/RHSA-2017:2672

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.