Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Node.js < 6.12.2 Betroffene Plattformen: openSUSE Leap 42.3 Verschiedene Schwachstellen in Node.js bzw. dem eingebetteten OpenSSL ermöglichen einem entfernten, nicht authentisierten Angreifer unterschiedliche Angriffe: die Durchführung eines Denial-of-Service (DoS)-Angriffes, das Umgehen von Sicherheitsvorkehrungen, die Darstellung falscher Informationen sowie das Ausspähen von Informationen. Die Schwachstelle CVE-2017-15896 bestand in Node.js aufgrund einer Verwundbarkeit gegenüber CVE-2017-3737 in dem eingebetteten OpenSSL, infolgedessen dem Angreifer letztlich das Ausspähen von Informationen möglich ist. Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für Node.js Version 6.12.2 zur Behebung der Schwachstellen bereit. Patch: openSUSE Security Update openSUSE-SU-2018:0315-1 http://lists.opensuse.org/opensuse-updates/2018-01/msg00113.html
CVE-2017-15896: Schwachstelle in Node.js ermöglicht Umgehen von
Sicherheitsmechanismen
In den TLS- bzw. HTTP2-Modulen in Node.js in den Versionen 4.x bis 4.8.6,
6.x bis 6.12.1, 8.x bis 8.9.2 und 9.x bis 9.2.0 besteht eine Schwachstelle
aufgrund der Schwachstelle CVE-2017-3737 in OpenSSL im Kontext der Benutzung
der Funktion ‘SSL_read()’ bei einem TLS-Verbindungsaufnahmefehler. Ein
entfernter, nicht authentisierter Angreifer kann dadurch Daten an Node.js
unter Verwendung der TLS- oder HTTP2-Module unter Umgehung der
TLS-Authentifizierung und -Verschlüsselung senden.
CVE-2017-3738: Schwachstelle in OpenSSL ermöglicht Ausspähen von
Informationen
Die zur Potenzierung von 1024-Bit Feldern verwendete ‘AVX2 Montgomery
Mltiplication’ Prozedur enthält eine Puffer-Überlauf-Schwachstelle (Overflow
Bug), die zu Angriffen gegen DH1024 (Diffie Hellman) ausgenutzt werden kann.
Elliptic-Curve-Algorithmen sind nicht gefährdet und Angriffe gegen RSA und
DSA wären mit unverhältnismäßig großem Aufwand verbunden. Ein entfernter,
nicht authentisierter Angreifer kann diese Schwachstelle ausnutzen, dadurch
private Schlüssel ermitteln und in der Folge Informationen ausspähen. Die
Schwachstelle betrifft Prozessoren die über den erweiterten Befehlssatz AVX2
verfügen, wie z.B. Intel Haswell.
CVE-2017-3736: Schwachstelle in OpenSSL ermöglicht Ausspähen von
Informationen
In der ‘Montgomery Squaring’ Prozedur auf x86_64-Architekturen existiert
eine Schwachstelle aufgrund einer fehlerhaften Berechnung in der Funktion
‘bn_sqrx8x_internal’. Elliptic Curve Algorithmen sind davon nicht betroffen
und auch Angriffe gegen RSA und DSA werden als sehr schwierig und deshalb
als wenig wahrscheinlich angesehen. Dagegen erscheinen Angriffe gegen Diffie
Hellman (DH) möglich, wenn persistente DH-Parameter verwendet und private
Schlüssel von vielen Clients geteilt werden. Ein entfernter, nicht
authentisierter Angreifer, der Online-Zugriff auf ein angreifbares System
hat, kann diese Schwachstelle ausnutzen, um private Schlüssel zu ermitteln
und damit sensible Informationen auszuspähen. Von der Schwachstelle
betroffen sind nur Prozessoren, die BMI1-, BMI2- und ADX-Erweiterungen
unterstützen, wie Intel Broadwell (5th Generation) und spätere oder AMD
Ryzen. Diese Schwachstelle ist der in OpenSSL 1.0.2e behobenen CVE-2015-3193
sowie der in OpenSSL 1.0.2k behobenen CVE-2017-3732 sehr ähnlich, muss aber
gesondert behandelt werden.
Im Kontext von Oracle MySQL betrifft diese Schwachstelle die Komponente
Connector/ODBC (OpenSSL) des Produktes MySQL Connectors, die Komponente
Monitoring: General (OpenSSL) des Produktes MySQL Enterprise Monitor sowie
die Komponente Core (OpenSSL) des Produktes VM VirtualBox.
CVE-2017-14919: Schwachstelle in Node.js ermöglicht
Denial-of-Service-Angriff
Nach einer Änderung in der Version 1.2.9 in der in Node.js verwendeten
Programmbibliothek zlib ist die Verwendung des Wertes ‘8’ für den Parameter
‘windowBits’ ungültig. Wird dieser Wert über den Aufruf
‘zlib.createDeflateRaw({windowBits: 8})’ aufgerufen, dann tritt im
zlib-Modul ein Ausnahmefall (Exception) ein und die Anwendung stürzt ab.
Ein entfernter, nicht authentisierter Angreifer kann diese Schwachstelle mit
Hilfe eines bestehenden oder selbst angepassten WebSocket-Clients in einer
Anfrage mit dem Wert ‘8’ für ‘windowsBits’ ausnutzen und einen
Denial-of-Service (DoS)-Zustand herbeiführen. Möglicherweise ist die
Schwachstelle auch über weitere Vektoren der zlib-Bibliothek ausnutzbar, in
denen eine von außerhalb initiierte Anfrage den Wert ‘8’ als Resultat für
den Parameter ‘windowBits’ ergibt.
CVE-2017-3735: Schwachstelle in OpenSSL ermöglicht Darstellen falscher
Informationen
Bei der Verarbeitung einer IPAdressFamily-Extension eines X.509-Zertifikats
kann es zum Zugriff auf ein Byte außerhalb des zugewiesenen Speicherbereichs
kommen. Ein entfernter, nicht authentisierter Angreifer kann eine
Schwachstelle in OpenSSL ausnutzen, um falsche Informationen in der
Textansicht eines X.509-Zertifikats darzustellen. Da die Herkunft der
Informationen in einem nicht dafür vorgesehenen Speicherbereich liegt,
lassen sich dadurch möglicherweise auch Informationen ausspähen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2018-0223/
Schwachstelle CVE-2017-3735 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3735
Schwachstelle CVE-2017-14919 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-14919
Schwachstelle CVE-2017-3736 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3736
Schwachstelle CVE-2017-3738 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3738
Node.js 6.12.2 Release Notes:
https://github.com/nodejs/node/blob/master/doc/changelogs/CHANGELOG_V6.md#6.12.2
Schwachstelle CVE-2017-15896 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-15896
openSUSE Security Update openSUSE-SU-2018:0315-1:
http://lists.opensuse.org/opensuse-updates/2018-01/msg00113.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
