DFN-CERT-2016-1062 Node.js-WS: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Fedora]

DFN-CERT portal at dfn-cert.de
Fri Jul 1 09:20:02 CEST 2016


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

  Node.js-WS <= 1.1.0
  

Betroffene Plattformen:

  Red Hat Fedora 23
  Red Hat Fedora 24
  Extra Packages for Red Hat Enterprise Linux 6
  Extra Packages for Red Hat Enterprise Linux 7
  


Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe speziell
präparierter Anfragen an den WS-Server einen Denial-of-Service (DoS)-Angriff
durchführen.

Für die Distributionen Fedora 23 und 24 sowie für Fedora EPEL 6 und 7 stehen
Sicherheitsupdates für Node.js-WS auf Version 1.1.1 im Status 'testing'
bereit.


Patch:

  Fedora Security Update FEDORA-2016-40bbb1efe6 (Fedora 24)

  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-40bbb1efe6>

Patch:

  Fedora Security Update FEDORA-2016-d97547150a (Fedora 23)

  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-d97547150a>

Patch:

  Fedora Security Update FEDORA-EPEL-2016-2d1cb7dbdf (Fedora EPEL 6)

  <https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-2d1cb7dbdf>

Patch:

  Fedora Security Update FEDORA-EPEL-2016-a01cdab420 (Fedora EPEL 7)

  <https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-a01cdab420>


NODESECURITY-ADV-120: Schwachstelle in Node.js-WS ermöglicht
  Denial-of-Service-Angriff

  Durch die Verarbeitung von überlangen Websocket-Nutzdaten (Payload) in
  Anfragen an den WS-Server kann ein Denial-of-Service-Zustand (DoS) des
  Node-Prozesses ausgelöst werden.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2016-1062/>

Fedora Security Update FEDORA-2016-40bbb1efe6 (Fedora 24):
  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-40bbb1efe6>

Fedora Security Update FEDORA-2016-d97547150a (Fedora 23):
  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-d97547150a>

Fedora Security Update FEDORA-EPEL-2016-2d1cb7dbdf (Fedora EPEL 6):
  <https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-2d1cb7dbdf>

Fedora Security Update FEDORA-EPEL-2016-a01cdab420 (Fedora EPEL 7):
  <https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-a01cdab420>

Nodesecurity Advisory 120
:
  <https://nodesecurity.io/advisories/120>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 4686 bytes
Desc: not available
URL: <https://lists.cert.uni-stuttgart.de/pipermail/security-announce/attachments/20160701/ccb41222/attachment.bin>


More information about the Security-Announce mailing list