Liebes Linux-Magazin-Team,
bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.
Historie:
Version 7 (16.06.20):
Für SUSE OpenStack Cloud in den Versionen 7, Crowbar 8 und 9 sowie SUSE
Linux Enterprise Module for Web Scripting 12 stehen Sicherheitsupdates für
‘nodejs6’ zur Behebung der Schwachstelle CVE-2020-8174 zur Verfügung.
Zusätzlich wird auch die Schwachstelle CVE-2020-7598 in ‘npm’ behoben.
Version 6 (15.06.20):
Für openSUSE Leap 15.1 steht ein Sicherheitsupdate für ‘nodejs8’ bereit,
welches die zuvor erwähnte npm-Schwachstelle CVE-2020-7598 sowie
CVE-2020-11080 und CVE-2020-8174 behebt.
Version 5 (11.06.20):
SUSE veröffentlicht jetzt für SUSE Linux Enterprise Module for Web
Scripting 12 auch ein Sicherheitsupdate für ‘nodejs12’ auf die Version
12.18.0, um die Schwachstellen CVE-2020-11080, CVE-2020-8172 und
CVE-2020-8174 zu beheben. Hiermit wird auch ‘npm’ auf Version 6.13.6
aktualisiert, um die bereits erwähnte Schwachstelle CVE-2020-7598 zu
adressieren.
Version 4 (10.06.20):
SUSE veröffentlicht jetzt auch für SUSE Linux Enterprise Module for Web
Scripting 12 ein Sicherheitsupdate für ‘nodejs10’ auf die Version
10.21.0, um neben den Schwachstellen CVE-2020-10531, CVE-2020-11080 und
CVE-2020-8174 die Schwachstelle CVE-2020-7598 in ‘npm’ zu beheben, die von
einem entfernten Angreifer für die Ausführung beliebigen Programmcodes
ausgenutzt werden kann.
Für die SUSE Linux Enterprise Server Produkte for SAP 15 und 15 LTSS, SUSE
Linux Enterprise Module for Web Scripting 15 SP1 und SP2 sowie SUSE Linux
Enterprise High Performance Computing 15 ESPOS und LTSS stehen
Sicherheitsupdates für ‘nodejs8’ bereit, welche die zuvor erwähnte npm-
Schwachstelle CVE-2020-7598 sowie CVE-2020-11080 und CVE-2020-8174
adressieren.
Version 3 (09.06.20):
Für die SUSE Linux Enterprise Server Produkte for SAP 15 und 15 LTSS, SUSE
Linux Enterprise Module for Web Scripting 15 SP1 und SP2 sowie SUSE Linux
Enterprise High Performance Computing 15 ESPOS und LTSS stehen
Sicherheitsupdates für ‘nodejs10’ zur Behebung der Schwachstellen
CVE-2020-10531, CVE-2020-11080 und CVE-2020-8174 auf die Version 10.21.0
zur Verfügung. Zusätzlich wird ‘npm’ auf die Version 6.14.3 aktualisiert
und damit die Schwachstelle CVE-2020-7598 adressiert, die einem entfernten
Angreifer die Ausführung beliebigen Programmcodes erlaubt.
Version 2 (08.06.20):
Für Debian 10 Buster (stable) steht ebenfalls ein Sicherheitsupdate für
‘nodejs’ auf Version 10.21.0~dfsg-1~deb10u1 zur Verfügung, welches die
Schwachstellen CVE-2020-8174 und CVE-2020-11080 adressiert.
Version 1 (03.06.20):
Neues Advisory
Mehrere Schwachstellen ermöglichen einem entfernten Angreifer das Ausführen
beliebigen Programmcodes und die Durchführung von Denial-of-Service
(DoS)-Angriffen.
Der Hersteller informiert über die Schwachstellen und veröffentlicht Node
v10.21.0 (LTS), v12.18.0 (LTS) und v14.4.0 als Sicherheitsupdates. Die
Schwachstelle CVE-2020-10531 existiert nur im Versionszweig 10.x und wird
mit der Version 10.20.1 behoben, während die Schwachstelle CVE-2020-8172
diesen Versionszweig nicht betrifft.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2020-1164]
Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team
—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html
