DFN-CERT Portal

Schwachstellen

DFN-CERT-2017-2237: Node.js: Mehrere Schwachstellen ermöglichen u.a. das Umgehen von Sicherheitsvorkehrungen

Historie

Version 1 (2017-12-11 14:19)
Neues Advisory
Version 2 (2018-01-02 12:31)
Für SUSE Linux Enterprise Module for Web Scripting 12 und SUSE Enterprise Storage 4 stehen Sicherheitsupdates für 'nodejs4' auf Version 4.8.7 zur Verfügung. Mit diesen Updates werden zusätzlich die Schwachstellen CVE-2017-3735 und CVE-2017-3736 im eingebetteten OpenSSL adressiert, die bereits mit Node.js 4.8.6 behoben wurden.
Version 3 (2018-01-08 10:27)
Für openSUSE Leap 42.2 und 42.3 stehen Sicherheitsupdates für 'nodejs4' auf Version 4.8.7 zur Verfügung. Mit diesen Updates werden zusätzlich die Schwachstellen CVE-2017-3735 und CVE-2017-3736 im eingebetteten OpenSSL und CVE-2017-14919 im eingebetteten zlib adressiert, die bereits mit Node.js 4.8.6 und 4.8.5 behoben wurden.

Betroffene Software

Node.js < 4.8.7
Node.js < 6.12.2
Node.js < 8.9.3
Node.js < 9.2.1

Betroffene Plattformen

SUSE Linux Enterprise Module for Web Scripting 12
SUSE Enterprise Storage 4
Apple macOS
GNU/Linux
Microsoft Windows
openSUSE Leap 42.2
openSUSE Leap 42.3
Red Hat Fedora 27
Extra Packages for Red Hat Enterprise Linux 7

Lösung

Patch

Fedora Security Update FEDORA-2017-e6be32cb7a (Fedora 27, nodejs-8.9.3-2.fc27)

Patch

Fedora Security Update FEDORA-EPEL-2017-77cc9084cb (Fedora EPEL 7, nodejs-6.12.2-1.el7)

Patch

Node.js 9.2.1 Release Notes

Patch

Node.js 4.8.7 Release Notes

Patch

Node.js 6.12.2 Release Notes

Patch

Node.js 8.9.3 Release Notes

Patch

SUSE Security Update SUSE-SU-2018:0002-1

Patch

openSUSE Security Update openSUSE-SU-2018:0029-1

Beschreibung

Mehrere Schwachstellen in Node.js ermöglichen einem entfernten, nicht authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen und das Ausspähen von Informationen.

Der Hersteller bietet die Versionen 4.8.7, 6.12.2, 8.9.3 und 9.2.1 als Sicherheitsupdates an, wobei die Schwachstelle CVE-2017-15897 nur für die Versionszweige 8.x und 9.x relevant ist.

Für Fedora 27 und Fedora EPEL 7 stehen die Pakete 'nodejs-8.9.3-2.fc27' und 'nodejs-6.12.2-1.el7' im Status 'testing' zur Verfügung.

Schwachstellen

CVE-2017-15897: Schwachstelle in Node.js ermöglicht Ausspähen von Informationen

In Node.js in den Versionen 8.x bis 8.9.2 und 9.x bis 9.2.0 besteht eine Schwachstelle aufgrund einer fehlenden Initialisierung von Pufferspeicher, wenn bei dem Aufruf der Initialisierungsfunktion die Kodierung des Füllwerts nicht dem angegebenen Kodierungstyp entspricht. Ein entfernter, nicht authentisierter Angreifer kann Informationen ausspähen.

CVE-2017-15896: Schwachstelle in Node.js ermöglicht Umgehen von Sicherheitsmechanismen

In den TLS- bzw. HTTP2-Modulen in Node.js in den Versionen 4.x bis 4.8.6, 6.x bis 6.12.1, 8.x bis 8.9.2 und 9.x bis 9.2.0 besteht eine Schwachstelle aufgrund der Schwachstelle CVE-2017-3737 in OpenSSL im Kontext der Benutzung der Funktion 'SSL_read()' bei einem TLS-Verbindungsaufnahmefehler. Ein entfernter, nicht authentisierter Angreifer kann dadurch Daten an Node.js unter Verwendung der TLS- oder HTTP2-Module unter Umgehung der TLS-Authentifizierung und -Verschlüsselung senden.

CVE-2017-3738: Schwachstelle in OpenSSL ermöglicht Ausspähen von Informationen

Die zur Potenzierung von 1024-Bit Feldern verwendete 'AVX2 Montgomery Mltiplication' Prozedur enthält eine Puffer-Überlauf-Schwachstelle (Overflow Bug), die zu Angriffen gegen DH1024 (Diffie Hellman) ausgenutzt werden kann. Elliptic-Curve-Algorithmen sind nicht gefährdet und Angriffe gegen RSA und DSA wären mit unverhältnismäßig großem Aufwand verbunden. Ein entfernter, nicht authentisierter Angreifer kann diese Schwachstelle ausnutzen, dadurch private Schlüssel ermitteln und in der Folge Informationen ausspähen. Die Schwachstelle betrifft Prozessoren die über den erweiterten Befehlssatz AVX2 verfügen, wie z.B. Intel Haswell.

Referenzen

© DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf des schriftlichen Einverständnisses des Rechteinhabers.