Liebes Linux-Magazin-Team,
bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.
Historie:
Version 6 (22.02.19):
Für openSUSE Leap 15.0 steht ein Sicherheitsupdate für ‘nodejs6’ auf die
Version 6.16.0 bereit, durch welches die dafür relevanten Schwachstellen
behoben werden.
Version 5 (15.02.19):
Für SUSE OpenStack Cloud 7 und OpenStack Cloud Crowbar 8, für SUSE Linux
Enterprise Module for Web Scripting 12 und für SUSE Enterprise Storage 4
stehen Sicherheitsupdates bereit, mit denen ‘nodejs6’ auf Version 6.16.0
aktualisiert wird.
Version 4 (28.01.19):
Für openSUSE Leap 15.0 steht ein Sicherheitsupdate für ‘nodejs8’ auf
Version 8.15.0 bereit, durch welches die dafür relevanten Schwachstellen
behoben werden.
Version 3 (28.01.19):
Für openSUSE Leap 42.3 steht ebenfalls ein Sicherheitsupdate für ‘nodejs4’
bereit, mit dem die dafür relevanten Schwachstellen behoben werden.
Version 2 (21.01.19):
SUSE stellt für SUSE Linux Enterprise Module for Web Scripting 12 und SUSE
Enterprise Storage 4 ein Sicherheitsupdate für ‘nodejs4’ bereit, um die
referenzierten Schwachstellen mit Ausnahme von CVE-2018-0735 zu beheben.
Das Sicherheitsupdate für SUSE Linux Enterprise Module for Web Scripting
15 für ‘nodejs8’ schließt die Schwachstellen CVE-2018-12116,
CVE-2018-12121, CVE-2018-12122 und CVE-2018-12123 und aktualisiert Node.js
auf die Version 8.15.0.
Version 1 (11.01.19):
Neues Advisory
Mehrere Schwachstellen in Node.js ermöglichen einem entfernten, nicht
authentisierten Angreifer die Durchführung verschiedener Denial-of-Service
(DoS)-Angriffe, das Ausführen beliebigen JavaScript-Programmcodes, das
Darstellen falscher Informationen und die Durchführung eines Cross-Site-
Scripting (XSS)-Angriffes. Zwei Schwachstellen in OpenSSL ermöglichen einem
entfernten, nicht authentisierten Angreifer das Ausspähen des privaten
Schlüssels. Eine weitere Schwachstelle ermöglicht dies auch einem lokalen,
einfach authentisierten Angreifer.
Der Hersteller hat die Schwachstellen mit den Node.js Versionen 6.15.0 (LTS
‘Boron’), 8.14.0 (LTS ‘Carbon’), 10.14.0 (LTS ‘Dubnium”) und 11.3.0
(Current) behoben. Zusätzlich wurde mittels der Sicherheitsupdates OpenSSL
auf die Versionen 1.0.2q und 1.1.0j aktualisiert und somit die
Schwachstellen CVE-2018-0734, CVE-2018-0735 und CVE-2018-5407 behoben. Der
Hersteller hat weiterhin Node.js 6.16.0 veröffentlicht, um unter anderem
eine Regression zu beheben, die mit dem 6.15.0 Security Release für den
Versionszweig 6.x eingeführt wurde.
Für Fedora EPEL 7 steht nun ein Sicherheitsupdate auf Node.js 6.16.0 im
Status ‘testing’ zur Verfügung, um die Schwachstellen in diesem
Versionszweig zu beheben. Die OpenSSL Schwachstellen werden nicht behoben,
da Fedora EPEL 7 eine andere OpenSSL-Version verwendet.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-2444]
Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team
—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html
