UPDATE: DFN-CERT-2013-1831 node.js: Eine Schwachstelle erlaubt Denial-of-Service-Angriffe [Linux][Fedora][RedHat][SuSE][Unix]

UPDATE: DFN-CERT-2013-1831 node.js: Eine Schwachstelle erlaubt Denial-of-Service-Angriffe [Linux][Fedora][RedHat][SuSE][Unix]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (16.12.2013):
Die Schwachstelle wurde auch in openSUSE 12.2, 12.3 und 13.1 behoben.
Version 2 (29.10.2013):
Die Schwachstelle wurde in den Distributionen Fedora 18 und 19 behoben.
Version 1 (24.10.2013):
Neues Advisory

Betroffene Software:

node.js <= 0.8.25 node.js <= 0.10.20 openSUSE <= 12.2 openSUSE <= 12.3 openSUSE <= 13.1 Red Hat Fedora <= 18 Red Hat Fedora <= 19 Red Hat Linux Betroffene Plattformen: Fedora Linux RedHat SuSE UNIX Eine Schwachstelle im node.js Server kann ein entfernter, nicht authentifizierter Angreifer für einen Denial-of-Service-Angriff ausnutzen. Update: Die Schwachstelle wurde in den Distributionen Fedora 18 und 19 behoben. Patch: Fedora Update Notification FEDORA 18 https://lists.fedoraproject.org/pipermail/package-announce/2013-October/119797.html

Patch:

Fedora Update Notification FEDORA 19

https://lists.fedoraproject.org/pipermail/package-announce/2013-October/119776.html

Patch:

openSUSE Security Update: openSUSE-SU-2013:1863-1

http://lists.opensuse.org/opensuse-updates/2013-12/msg00051.html

CVE-2013-4450: Schwachstelle im node.js Server

Eine Schwachstelle in den node.js Versionen bis 0.8.25 bzw. 0.10.20 erlaubt
einem Angreifer die Verfügbarkeit des Systems zu beeinträchtigen (CPU und
Speicherauslastung), indem eine große Zahl an ‘pipelined Requests’ an den
HTTP Server von node.js geschickt werden, ohne die Antworten zu verarbeiten.
Ein entfernten, nicht authentifizierter Angreifer kann so einen
Denial-of-Service-Zustand herbeiführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1831/

Schwachstelle CVE-2013-4450 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4450

Fedora Update Notification FEDORA 18:
https://lists.fedoraproject.org/pipermail/package-announce/2013-October/119797.html

Fedora Update Notification FEDORA 19:
https://lists.fedoraproject.org/pipermail/package-announce/2013-October/119776.html

openSUSE Security Update: openSUSE-SU-2013:1863-1:
http://lists.opensuse.org/opensuse-updates/2013-12/msg00051.html

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben