DFN-CERT-2016-1224 Node.js Modul: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Fedora]

DFN-CERT portal at dfn-cert.de
Fri Jul 29 10:30:02 CEST 2016


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

  Node.js
  

Betroffene Plattformen:

  Red Hat Fedora 24
  


Ein entfernter, nicht authentifizierter Angreifer kann eine Schwachstelle im
'Tough-Cookie'-Modul von Node.js ausnutzen, um einen Denial-of-Service
(DoS)-Zustand des 'Event Loops' von Node.js auszulösen.

Ein Upgrade des Moduls auf Version 2.3.0 oder höher behebt diese
Schwachstelle. Für Fedora 24 steht ein Sicherheitsupdate für das Modul auf
Version 2.3.1 im Status 'testing' bereit.


Patch:

  Fedora Security Update FEDORA-2016-c0fd203d6e (Fedora 24,
  nodejs-tough-cookie-2.3.1-1)

  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-c0fd203d6e>


RED-HAT-BUG-ID-1359818: Schwachstelle in Nodejs Tough-cookie ermöglicht
  Denial-of-Service-Angriff

  Das Tough-Cookie-Modul von Node.js ist eine Bibliothek, welche die
  Verarbeitung und Verwaltung von Textdateien (Cookies) ermöglicht. In den
  Versionen 0.9.7 bis 2.2.2 des Moduls ist ein regulärer Ausdruck enthalten,
  der unter bestimmten Umständen bei der Verarbeitung langer Zeichenketten mit
  Semikolons in den 'Set-Cookie'-Kopfdaten die Kernkomponente 'Event Loop' von
  Node.js über Gebühr blockiert.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2016-1224/>

Fedora Security Update FEDORA-2016-c0fd203d6e (Fedora 24,
nodejs-tough-cookie-2.3.1-1):
  <https://bodhi.fedoraproject.org/updates/FEDORA-2016-c0fd203d6e>

Node Security Advisory "ReDoS via long string of semicolons":
  <https://nodesecurity.io/advisories/130>

Red Hat Bug 1359818:
  <https://bugzilla.redhat.com/show_bug.cgi?id=1359818>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 4686 bytes
Desc: not available
URL: <https://lists.cert.uni-stuttgart.de/pipermail/security-announce/attachments/20160729/0806ae69/attachment.bin>


More information about the Security-Announce mailing list