Kurzinfo CB-K17/2139 Update 1

2 Risiko: niedrig
Information zu Schwachstellen und Sicherheitslücken
Titel: Node.js: Mehrere Schwachstellen ermöglichen u.a. das Umgehen von Sicherheitsvorkehrungen
Datum: 02.01.2018
Software: Node.js < 4.8.7, Node.js < 6.12.2, Node.js < 8.9.3, Node.js < 9.2.1
Plattform: SUSE Linux Enterprise Module for Web Scripting 12, SUSE Enterprise Storage 4, Apple macOS, GNU/Linux, Microsoft Windows , Red Hat Fedora 27, Extra Packages for Red Hat Enterprise Linux 7
Auswirkung: Umgehen von Sicherheitsvorkehrungen
Remoteangriff: Ja
Risiko: niedrig
CVE Liste: CVE-2017-15896, CVE-2017-15897, CVE-2017-3738
Bezug: Fedora Security Update FEDORA-2017-e6be32cb7a (Fedora 27, nodejs-8.9.3-2.fc27)
Revisions Historie
  • Version: 2

    Für SUSE Linux Enterprise Module for Web Scripting 12 und SUSE Enterprise Storage 4 stehen Sicherheitsupdates für 'nodejs4' auf Version 4.8.7 zur Verfügung. Mit diesen Updates werden zusätzlich die Schwachstellen CVE-2017-3735 und CVE-2017-3736 im eingebetteten OpenSSL adressiert, die bereits mit Node.js 4.8.6 behoben wurden.

  • Version: 1

    Neues Advisory

Beschreibung

Node.js ist eine Plattform, die auf der JavaScript-Engine von Chrome basiert und für die einfache Erstellung von schnellen, skalierbaren Netzwerkanwendungen entwickelt wurde.

Mehrere Schwachstellen in Node.js ermöglichen einem entfernten, nicht authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen und das Ausspähen von Informationen. Der Hersteller bietet die Versionen 4.8.7, 6.12.2, 8.9.3 und 9.2.1 als Sicherheitsupdates an, wobei die Schwachstelle CVE-2017-15897 nur für die Versionszweige 8.x und 9.x relevant ist. Für Fedora 27 und Fedora EPEL 7 stehen die Pakete 'nodejs-8.9.3-2.fc27' und 'nodejs-6.12.2-1.el7' im Status 'testing' zur Verfügung.

  1. Schwachstelle CVE-2017-3738 (NVD)

  2. Fedora Security Update FEDORA-2017-e6be32cb7a (Fedora 27, nodejs-8.9.3-2.fc27)

  3. Fedora Security Update FEDORA-EPEL-2017-77cc9084cb (Fedora EPEL 7, nodejs-6.12.2-1.el7)

  4. Node.js 9.2.1 Release Notes

  5. Node.js 4.8.7 Release Notes

  6. Node.js 6.12.2 Release Notes

  7. Node.js 8.9.3 Release Notes

  8. Node.js: Data Confidentiality/Integrity Vulnerability, December 2017

  9. Schwachstelle CVE-2017-15896 (NVD)

  10. Schwachstelle CVE-2017-15897 (NVD)

  11. SUSE Security Update SUSE-SU-2018:0002-1

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.