Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Node.js

Betroffene Plattformen:

Red Hat Fedora 24

Ein entfernter, nicht authentifizierter Angreifer kann eine Schwachstelle im
‘Tough-Cookie’-Modul von Node.js ausnutzen, um einen Denial-of-Service
(DoS)-Zustand des ‘Event Loops’ von Node.js auszulösen.

Ein Upgrade des Moduls auf Version 2.3.0 oder höher behebt diese
Schwachstelle. Für Fedora 24 steht ein Sicherheitsupdate für das Modul auf
Version 2.3.1 im Status ‘testing’ bereit.

Patch:

Fedora Security Update FEDORA-2016-c0fd203d6e (Fedora 24,
nodejs-tough-cookie-2.3.1-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-c0fd203d6e

RED-HAT-BUG-ID-1359818: Schwachstelle in Nodejs Tough-cookie ermöglicht
Denial-of-Service-Angriff

Das Tough-Cookie-Modul von Node.js ist eine Bibliothek, welche die
Verarbeitung und Verwaltung von Textdateien (Cookies) ermöglicht. In den
Versionen 0.9.7 bis 2.2.2 des Moduls ist ein regulärer Ausdruck enthalten,
der unter bestimmten Umständen bei der Verarbeitung langer Zeichenketten mit
Semikolons in den ‘Set-Cookie’-Kopfdaten die Kernkomponente ‘Event Loop’ von
Node.js über Gebühr blockiert.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-1224/

Fedora Security Update FEDORA-2016-c0fd203d6e (Fedora 24,
nodejs-tough-cookie-2.3.1-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-c0fd203d6e

Node Security Advisory “ReDoS via long string of semicolons”:
https://nodesecurity.io/advisories/130

Red Hat Bug 1359818:
https://bugzilla.redhat.com/show_bug.cgi?id=1359818

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.