Kurzinfo CB-K16/0234

4 Risiko: hoch
Information zu Schwachstellen und Sicherheitslücken
Titel: Node.js: Zwei Schwachstellen ermöglichen Cross-Site-Scripting-Angriffe
Datum: 11.02.2016
Software: Node.js 0.10.x, Node.js 0.12.x, Node.js 4.x, Node.js 5.x
Plattform: Red Hat Fedora 22, Red Hat Fedora 23, Extra Packages for Red Hat Enterprise Linux 6, Extra Packages for Red Hat Enterprise Linux 7
Auswirkung: Cross-Site-Scripting
Remoteangriff: Ja
Risiko: hoch
CVE Liste: CVE-2016-2086, CVE-2016-2216
Bezug: Fedora Security Update FEDORA-2016-8925b6119f (Fedora 22)
Beschreibung

Node.js ist eine Plattform, die auf der JavaScript-Engine von Chrome basiert und für die einfache Erstellung von schnellen, skalierbaren Netzwerkanwendungen entwickelt wurde.

Zwei Schwachstellen in Node.js ermöglichen einem entfernten, nicht authentifizierten Angreifer das Durchführen verschiedener Arten von Cross-Site-Scripting (XSS)-Angriffen. Der Hersteller weist darauf hin, dass die Versionszweige 0.10.x, 0.12.x, 4.x und 5.x betroffen sind und stellt Sicherheitsupdates auf die Versionen 0.10.42, 0.12.10, 4.3.0 und 5.6.0 bereit. Insbesondere wird der Versionszweig 4.2.x nicht weiter unterstützt, ein Update auf 4.3.x wird dringend empfohlen. Fedora stellt für die Distributionen Fedora 22 und 23 sowie Fedora EPEL 6 und 7 mit den Paketen nodejs-0.10.42-4.fc22, nodejs-0.10.42-4.fc23 Sicherheitsupdates im Status 'pending', bzw. nodejs-0.10.42-4.el6 und nodejs-0.10.42-4.el7 im Status 'testing' bereit.

  1. Schwachstelle CVE-2016-2086 (NVD)

  2. Schwachstelle CVE-2016-2216 (NVD)

  3. Fedora Security Update FEDORA-2016-3102c11757 (Fedora 23)

  4. Fedora Security Update FEDORA-2016-8925b6119f (Fedora 22)

  5. Fedora Security Update FEDORA-EPEL-2016-50304d1e1f (Fedora EPEL 7)

  6. Fedora Security Update FEDORA-EPEL-2016-791080c274 (Fedora EPEL 6)

  7. Node.js February 2016 Security Release

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.