Technologie

#Node.js: IT-Sicherheitslücke mit hohem Risiko! Mehrere Schwachstellen gemeldet

„Node.js: IT-Sicherheitslücke mit hohem Risiko! Mehrere Schwachstellen gemeldet“

Dies BSI hat kombinieren aktuellen IT-Sicherheitshinweis pro Node.js hrsg.. Es sind mehrere Schwachstellen festgestellt worden. Mehr hoch die betroffenen Betriebssysteme und Produkte sowie CVE-Nummern firm Sie hier gen news.de.

Dies Bundesamt pro Sicherheit in welcher Informationstechnik (BSI) hat am 17.03.2023 ein Update zu einer am 25.01.2022 bekanntgewordenen Sicherheitslücke mit mehreren Schwachstellen pro Node.js hrsg.. Betroffen von welcher Sicherheitslücke sind dasjenige operating system Linux sowie die Produkte Debian Linux, Red Hat Enterprise Linux, HCL Dominospiel, SUSE Linux, IBM Tivoli Netcool/OMNIbus, Oracle Linux, IBM Spectrum Protect, HCL BigFix, Open Source Node.js und JFrog Artifactory.

Die neuesten Hersteller-Empfehlungen mit Bezug auf Updates, Workarounds und Sicherheitspatches pro selbige Sicherheitslücke finden Sie hier: IBM Security Bulletin 6956237 (Stand: 17.03.2023). Weitere nützliche Sinister werden weiter unten in diesem Kautel aufgeführt.

Mehrere Schwachstellen pro Node.js – Risiko: hoch

Risikostufe: 4 (hoch)
CVSS Cousine Score: 9,8
CVSS Zeitlich Score: 8,5
Remoteangriff: Ja

Zur Einschätzung des Schweregrads von Schwachstellen in Computersystemen wird dasjenige Common Vulnerability Scoring System (CVSS) angewandt. Dieser CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken gen Fundament verschiedener Metriken miteinander zu vergleichen, um Gegenmaßnahmen besser vorziehen zu können. Pro die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „unbequem“ verwendet. Dieser Cousine Score bewertet die Voraussetzungen pro kombinieren Überfall (u.a. Authentifizierung, Vielschichtigkeit, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Dieser Zeitlich Score berücksichtigt darüber hinaus zeitliche Veränderungen im Sinne als welcher Gefahrenlage. Die Gefährdung welcher aktuellen Schwachstelle wird nachdem dem CVSS mit einem Cousine Score von 9,8 denn „hoch“ eingeschätzt.

Node.js Programmfehler: Auswirkungen nebst Auswertung welcher bekannten Schwachstellen

Node.js ist eine Plattform zur Kreation von Netzwerkanwendungen.

Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Node.js ausnutzen, um kombinieren Denial of Tafelgeschirr Überfall durchzuführen oder Schlüssel zur Variante zu erwirtschaften.

Die Verwundbarkeit wird mit den eindeutigen CVE-Identifikationsnummern (Common Vulnerabilities and Exposures) CVE-2021-3807 und CVE-2021-3918 gehandelt.

Von welcher Node.js-Sicherheitslücke betroffene Systeme im Übersicht

operating system
Linux

Produkte
Debian Linux (cpe:/o:debian:debian_linux)
Red Hat Enterprise Linux (cpe:/o:redhat:enterprise_linux)
HCL Dominospiel (cpe:/a:hcltech:domino)
SUSE Linux (cpe:/o:suse:suse_linux)
IBM Tivoli Netcool/OMNIbus (cpe:/a:ibm:tivoli_netcool%2fomnibus)
Oracle Linux (cpe:/o:oracle:linux)
IBM Spectrum Protect 8.1 (cpe:/a:ibm:spectrum_protect)
HCL BigFix (cpe:/a:hcltech:bigfix)
Open Source Node.js (cpe:/a:nodejs:nodejs)
JFrog Artifactory < 7.46.3 (cpe:/a:jfrog:artifactory)
IBM Spectrum Protect < 10.1.14 (cpe:/a:ibm:spectrum_protect)

Allgemeine Maßnahmen zum Umgang mit IT-Sicherheitslücken

  1. Computer-Nutzer welcher betroffenen Systeme sollten selbige gen dem aktuellsten Stand halten. Hersteller sind nebst Bekanntwerden von Sicherheitslücken dazu angehalten, selbige schnellstmöglich durch Kreation eines Patches oder eines Workarounds zu beheben. Sollten Sicherheitspatches verfügbar sein, installieren Sie selbige zeitnah.

  2. Sich beraten lassen Sie zu Informationszwecken die im nächsten Teilbereich aufgeführten Quellen. Vielerorts enthalten selbige weiterführende Informationen zur aktuellsten Version welcher betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.

  3. Wenden Sie sich nebst weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten regelmäßig prüfen, zu welcher Zeit welcher von welcher IT-Sicherheitswarnung betroffene Hersteller ein neues Sicherheitsupdate zur Verfügung stellt.

Hersteller-Informationen zu Updates, Patches und Workarounds

An dieser Stelle finden Sie weiterführende Sinister mit Informationen hoch Programmfehler-Reports, Security-Fixes und Workarounds.

IBM Security Bulletin 6956237 vom 2023-03-17 (17.03.2023)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/6956237

IBM Security Bulletin 6955067 vom 2023-03-16 (16.03.2023)
Weitere Informationen finden Sie unter: https://www.ibm.com/support/pages/node/6955067

HCL Article KB0102172 vom 2022-12-19 (20.12.2022)
Weitere Informationen finden Sie unter: https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0102172

Debian Security Advisory DLA-3228 vom 2022-12-06 (07.12.2022)
Weitere Informationen finden Sie unter: https://lists.debian.org/debian-lts-announce/2022/12/msg00013.html

Red Hat Security Advisory RHSA-2022:7055 vom 2022-10-19 (20.10.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:7055

Oracle Linux Bulletin-October 2022 vom 2022-10-18 (19.10.2022)
Weitere Informationen finden Sie unter: https://www.oracle.com/security-alerts/linuxbulletinoct2022.html

JFrog Fixed Security Vulnerabilities (04.10.2022)
Weitere Informationen finden Sie unter: https://www.jfrog.com/confluence/display/JFROG/Fixed+Security+Vulnerabilities

Oracle Linux Security Advisory ELSA-2022-6595 vom 2022-09-22 (22.09.2022)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2022-6595.html

Red Hat Security Advisory RHSA-2022:6595 vom 2022-09-21 (21.09.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:6595

Oracle Linux Security Advisory ELSA-2022-6449 vom 2022-09-15 (15.09.2022)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2022-6449.html

Red Hat Security Advisory RHSA-2022:6449 vom 2022-09-13 (14.09.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:6449

IBM Security Bulletin 6603645 vom 2022-07-15 (15.07.2022)
Weitere Informationen finden Sie unter: https://www.ibm.com/blogs/psirt/security-bulletin-vulnerability-in-json-schema-library-affect-tivoli-netcool-omnibus-webgui-cve-2021-3918/

Red Hat Security Advisory RHSA-2022:5483 vom 2022-07-01 (04.07.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:5483

Red Hat Security Advisory RHSA-2022:4956 vom 2022-06-09 (09.06.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:4956

Red Hat Security Advisory RHSA-2022:4914 vom 2022-06-06 (07.06.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:4914

Red Hat Security Advisory RHSA-2022:4814 vom 2022-05-31 (01.06.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:4814

Red Hat Security Advisory RHSA-2022:4711 vom 2022-05-26 (27.05.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:4711

SUSE Security Update SUSE-SU-2022:1717-1 vom 2022-05-17 (18.05.2022)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2022-May/011058.html

Huntr.dev PoC CVE-2021-3807 vom 2022-05-12 (13.05.2022)
Weitere Informationen finden Sie unter: https://huntr.dev/bounties/5b3cf33b-ede0-4398-9974-800876dfd994/

HCL Article KB0096877 vom 2022-04-06 (06.04.2022)
Weitere Informationen finden Sie unter: https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0096877

SUSE Security Update SUSE-SU-2022:0715-1 vom 2022-03-04 (07.03.2022)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2022-March/010355.html

SUSE Security Update SUSE-SU-2022:0704-1 vom 2022-03-03 (04.03.2022)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2022-March/010344.html

Red Hat Security Advisory RHSA-2022:0735 vom 2022-03-03 (04.03.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:0735

Red Hat Security Advisory RHSA-2022:0595 vom 2022-03-04 (04.03.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:0595

SUSE Security Update SUSE-SU-2022:0657-1 vom 2022-03-02 (03.03.2022)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2022-March/010326.html

SUSE Security Update SUSE-SU-2022:0570-1 vom 2022-02-24 (25.02.2022)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2022-February/010306.html

SUSE Security Update SUSE-SU-2022:0569-1 vom 2022-02-24 (25.02.2022)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2022-February/010307.html

SUSE Security Update SUSE-SU-2022:0563-1 vom 2022-02-24 (25.02.2022)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2022-February/010304.html

SUSE Security Update SUSE-SU-2022:0531-1 vom 2022-02-21 (22.02.2022)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2022-February/010279.html

Oracle Linux Security Advisory ELSA-2022-0350 vom 2022-02-02 (03.02.2022)
Weitere Informationen finden Sie unter: http://linux.oracle.com/errata/ELSA-2022-0350.html

Red Hat Security Advisory RHSA-2022:0350 vom 2022-02-02 (02.02.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:0350

RedHat Security Advisory vom 2022-01-24 (25.01.2022)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2022:0246

Versionshistorie dieser Sicherheitswarnung

Dies ist die 29. Version des vorliegenden IT-Sicherheitshinweises pro Node.js. Sollten weitere Updates bekanntgegeben werden, wird dieser Text aktualisiert. Änderungen oder Ergänzungen können Sie in dieser Versionshistorie nachlesen.

25.01.2022 – Initiale Steckdose
26.01.2022 – Korrektur bzgl. betroffenem Red Hat Produkt
02.02.2022 – Neue Updates von Red Hat aufgenommen
03.02.2022 – Neue Updates von Oracle Linux aufgenommen
22.02.2022 – Neue Updates von SUSE aufgenommen
25.02.2022 – Neue Updates von SUSE aufgenommen
03.03.2022 – Neue Updates von SUSE aufgenommen
04.03.2022 – Neue Updates von Red Hat und SUSE aufgenommen
07.03.2022 – Neue Updates von SUSE aufgenommen
06.04.2022 – Neue Updates von HCL aufgenommen
13.05.2022 – PoC pro CVE-2021-3807 aufgenommen
18.05.2022 – Neue Updates von SUSE aufgenommen
27.05.2022 – Neue Updates von Red Hat aufgenommen
01.06.2022 – Neue Updates von Red Hat aufgenommen
07.06.2022 – Neue Updates von Red Hat aufgenommen
09.06.2022 – Neue Updates von Red Hat aufgenommen
04.07.2022 – Neue Updates von Red Hat aufgenommen
15.07.2022 – Neue Updates von IBM aufgenommen
14.09.2022 – Neue Updates von Red Hat aufgenommen
15.09.2022 – Neue Updates von Oracle Linux aufgenommen
21.09.2022 – Neue Updates von Red Hat aufgenommen
22.09.2022 – Neue Updates von Oracle Linux aufgenommen
04.10.2022 – Neue Updates aufgenommen
19.10.2022 – Neue Updates aufgenommen
20.10.2022 – Neue Updates von Red Hat aufgenommen
07.12.2022 – Neue Updates von Debian aufgenommen
20.12.2022 – Neue Updates von HCL aufgenommen
16.03.2023 – Neue Updates von IBM aufgenommen
17.03.2023 – Neue Updates von IBM aufgenommen

+++ Redaktioneller Signal: Dieser Text wurde gen Fundament aktueller BSI-Wissen KI-gestützt erstellt. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Hören Sie News.de schon nebst Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Leiterbahn zur Redaktion.
roj/news.de

Quelle

Ähnliche Artikel

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Schaltfläche "Zurück zum Anfang"