UPDATE: DFN-CERT-2016-1038 Node.js: Zwei Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes [Linux][Fedora][SuSE][Windows]

DFN-CERT portal at dfn-cert.de
Wed Jul 20 14:25:02 CEST 2016


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
  Version 2 (20.07.2016):
    Für openSUSE Leap 42.1 und openSUSE 13.2 stehen Sicherheitsupdates bereit,
    welche die Schwachstelle CVE-2016-1669 adressieren.
  Version 1 (27.06.2016):
    Neues Advisory

Betroffene Software:

  Node.js 0.10.x
  Node.js 0.12.x
  Node.js 4.x
  Node.js 5.x
  Node.js 6.x
  

Betroffene Plattformen:

  Microsoft Windows 
  Microsoft Windows Server 2003
  Microsoft Windows XP
  openSUSE 13.2
  openSUSE Leap 42.1
  Red Hat Fedora 23
  Red Hat Fedora 24
  


Zwei Schwachstellen in Node.js ermöglicht einem entfernten, nicht
authentifizierten Angreifer die Ausführung beliebigen Programmcodes und
einen Denial-of-Service-Angriff.

Die Schwachstelle CVE-2016-1669 betrifft alle Versioneszweige von Node.js,
wobei der Versionszweig v6 nur bis Version 6.2.0 verwundbar ist. Die
Schwachstelle CVE-2014-9748 betrifft die Versionszweige 0.10 und 0.12 auf
Windows XP- und Windows 2003 Server-Systemen. Es stehen die
Programmversionen 0.10.46, 0.12.15, 4.4.6 und 5.12.0 als Sicherheitsupdates
zur Verfügung.

Für Fedora 23 und 24 stehen mit den Paketen 'nodejs-0.10.46-1.fc23' und
'nodejs-4.4.6-2.fc24' Sicherheitsupdates im Status 'testing' zur Verfügung,
die die Schwachstelle CVE-2016-1669 beheben.


Patch:

  Fedora Security Update FEDORA-2016-f90dc5ee3e (Fedora 24, nodejs-4.4.6)

  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-f90dc5ee3e>

Patch:

  Fedora Security Update FEDORA-2016-fcccb0a547 (Fedora 23, nodejs-0.10.46)

  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-fcccb0a547>

Patch:

  Node.js Release Notes June 2016

  <https://nodejs.org/en/blog/vulnerability/june-2016-security-releases/>

Patch:

  openSUSE Security Update openSUSE-SU-2016:1834-1

  <http://lists.opensuse.org/opensuse-updates/2016-07/msg00063.html>


CVE-2014-9748: Schwachstelle in libuv ermöglicht Denial-of-Service-Angriff

  Der wechselseitige Ausschluss eines Schreibvorgangs (Fallback Write Mutex)
  kann durch einen Prozess wieder freigegeben werden, der diesen nicht
  ausgelöst hat. Dies führt zu einem unspezifizierten Verhalten. Ein
  entfernter, nicht authentifizierter Angreifer kann dadurch einen
  Denial-of-Service-Angriff (DoS) und möglicherweise weitere Angriffe
  ausführen.


CVE-2016-1669: Schwachstelle in V8 ermöglicht Ausführen beliebigen
  Programmcodes 

  Die Funktion 'Zone::New' in 'zone.cc' in der Komponente Google V8 bevor
  5.0.71.47, wie verwendet in Google Chrome und Chromium vor Version
  50.0.2661.102 sowie Node.js, enthält eine nicht näher spezifizierte
  Schwachstelle durch die der Pufferspeicher zum Überlauf gebracht werden kann
  (Buffer overflow). Ein entfernter, nicht authentifizierter Angreifer kann
  diese Schwachstelle für einen Denial-of-Service (DoS)-Angriff oder
  möglicherweise sogar zum Ausführen beliebigen Programmcodes ausnutzen. 


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2016-1038/>

Schwachstelle CVE-2016-1669 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1669>

Fedora Security Update FEDORA-2016-f90dc5ee3e (Fedora 24, nodejs-4.4.6):
  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-f90dc5ee3e>

Fedora Security Update FEDORA-2016-fcccb0a547 (Fedora 23, nodejs-0.10.46):
  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-fcccb0a547>

Node.js Release Notes June 2016:
  <https://nodejs.org/en/blog/vulnerability/june-2016-security-releases/>

Schwachstelle CVE-2014-9748 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9748>

openSUSE Security Update openSUSE-SU-2016:1834-1:
  <http://lists.opensuse.org/opensuse-updates/2016-07/msg00063.html>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 4686 bytes
Desc: not available
URL: <https://lists.cert.uni-stuttgart.de/pipermail/security-announce/attachments/20160720/8b72f2bb/attachment.bin>


More information about the Security-Announce mailing list