Technologie

#Node.js: Update für jedes IT-Sicherheitswarnung (Risiko: hoch)

„Node.js: Update für jedes IT-Sicherheitswarnung (Risiko: hoch)“

Wie dies BSI meldet, hat die IT-Sicherheitswarnung, welche eine vorliegende Schwachstelle für jedes Node.js betrifft, ein Update erhalten. Eine Erläuterung dieser Sicherheitslücken inklusive dieser neuesten Updates sowie Infos zu betroffenen Betriebssystemen und Produkten Vorlesung halten Sie hier.

Dies Bundesamt für jedes Sicherheit in dieser Informationstechnik (BSI) hat am 09.05.2024 ein Update zu einer am 11.08.2021 bekanntgewordenen Sicherheitslücke mit mehreren Schwachstellen für jedes Node.js veröffentlicht. Betroffen von dieser Sicherheitslücke sind die Betriebssysteme Linux, UNIX und Windows sowie die Produkte Debian Linux, Red Hat Enterprise Linux, F5 BIG-IP, SUSE Linux, Oracle Linux, Gentoo Linux, Open Source Arch Linux und Open Source Node.js.

Die neuesten Hersteller-Empfehlungen in puncto Updates, Workarounds und Sicherheitspatches für jedes solche Sicherheitslücke finden Sie hier: Gentoo Linux Security Advisory GLSA-202405-29 (Stand: 08.05.2024). Weitere nützliche Quellen werden weiter unten in diesem Begleiter aufgeführt.

Mehrere Schwachstellen für jedes Node.js – Risiko: hoch

Risikostufe: 4 (hoch)
CVSS Kusine Score: 9,8
CVSS Zeitlich Score: 8,5
Remoteangriff: Ja

Zur Einschätzung des Schweregrads von Schwachstellen in Computersystemen wird dies Common Vulnerability Scoring System (CVSS) angewandt. Jener CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken hinauf Lager verschiedener Metriken miteinander zu vergleichen, um eine darauf aufbauende Prioritätenliste zur Vorwort von Gegenmaßnahmen zu erstellen. Zu Händen die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „unbequem“ verwendet. Jener Kusine Score bewertet die Voraussetzungen für jedes verdongeln Offensive (u.a. Authentifizierung, Vielschichtigkeit, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Jener Zeitlich Score berücksichtigt darüber hinaus zeitliche Veränderungen in Form von dieser Gefahrenlage. Jener Schweregrad dieser aktuellen Schwachstelle wird nachdem dem CVSS mit einem Kusine Score von 9,8 wie „hoch“ eingeschätzt.

Node.js Softwarefehler: Schwachstellen und CVE-Nummern

Node.js ist eine Plattform zur Entwicklungsverlauf von Netzwerkanwendungen.

Ein Angreifer kann mehrere Schwachstellen in Node.js ausnutzen, um beliebigen Programmcode auszuführen, verdongeln Cross-Site-Scripting Offensive durchzuführen, verdongeln Denial of Tafelgeschirr Zustand herzustellen und Sicherheitsmaßnahmen zu umgehen.

Die Verwundbarkeit wird mit den eindeutigen CVE-Identifikationsnummern (Common Vulnerabilities and Exposures) CVE-2021-22931, CVE-2021-22939 und CVE-2021-22940 gehandelt.

Von dieser Node.js-Sicherheitslücke betroffene Systeme im Gesamtschau

Betriebssysteme
Linux, UNIX, Windows

Produkte
Debian Linux (cpe:/o:debian:debian_linux)
Red Hat Enterprise Linux (cpe:/o:redhat:enterprise_linux)
F5 BIG-IP (cpe:/a:f5:big-ip)
SUSE Linux (cpe:/o:suse:suse_linux)
Oracle Linux (cpe:/o:oracle:linux)
Gentoo Linux (cpe:/o:gentoo:linux)
Open Source Arch Linux (cpe:/o:archlinux:archlinux)
Open Source Node.js <12.22.5 (LTS) (cpe:/a:nodejs:nodejs)
Open Source Node.js <14.17.5 (LTS) (cpe:/a:nodejs:nodejs)
Open Source Node.js <16.6.2 (cpe:/a:nodejs:nodejs)

Allgemeine Maßnahmen zum Umgang mit IT-Schwachstellen

  1. Benutzer dieser betroffenen Anwendungen sollten solche hinauf dem aktuellsten Stand halten. Hersteller sind wohnhaft bei Bekanntwerden von Sicherheitslücken dazu angehalten, solche schnellstmöglich durch Entwicklungsverlauf eines Patches oder eines Workarounds zu beheben. Sollten Sicherheitspatches verfügbar sein, installieren Sie solche zeitnah.
  2. Sich beraten lassen Sie zu Informationszwecken die im nächsten Teil aufgeführten Quellen. X-mal enthalten solche weiterführende Informationen zur aktuellsten Version dieser betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.
  3. Wenden Sie sich wohnhaft bei weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten regelmäßig prüfen, zu welcher Zeit dies herstellende Unternehmen ein neues Sicherheitsupdate zur Verfügung stellt.

Quellen zu Updates, Patches und Workarounds

An dieser Stelle finden Sie weiterführende Sinister mit Informationen oben Softwarefehler-Reports, Security-Fixes und Workarounds.

Gentoo Linux Security Advisory GLSA-202405-29 vom 2024-05-08 (09.05.2024)
Weitere Informationen finden Sie unter: https://security.gentoo.org/glsa/202405-29

Debian Security Advisory DLA-3137 vom 2022-10-05 (05.10.2022)
Weitere Informationen finden Sie unter: https://lists.debian.org/debian-lts-announce/2022/10/msg00006.html

SUSE Security Update SUSE-SU-2022:2855-1 vom 2022-08-19 (21.08.2022)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2022-August/011954.html

Arch Linux Security Advisory ASA-202110-5 vom 2021-10-21 (21.10.2021)
Weitere Informationen finden Sie unter: https://security.archlinux.org/ASA-202110-5

Arch Linux Security Advisory ASA-202110-6 vom 2021-10-21 (21.10.2021)
Weitere Informationen finden Sie unter: https://security.archlinux.org/ASA-202110-6

F5 Security Advisory K53225395 vom 2021-10-16 (17.10.2021)
Weitere Informationen finden Sie unter: https://support.f5.com/csp/article/K53225395

Red Hat Security Advisory RHSA-2021:3666 vom 2021-09-28 (27.09.2021)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2021:3666

Oracle Linux Security Advisory ELSA-2021-3666 vom 2021-09-28 (27.09.2021)
Weitere Informationen finden Sie unter: http://linux.oracle.com/errata/ELSA-2021-3666.html

SUSE Security Update SUSE-SU-2021:3211-1 vom 2021-09-23 (23.09.2021)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2021-September/009498.html

Oracle Linux Security Advisory ELSA-2021-3623 vom 2021-09-22 (22.09.2021)
Weitere Informationen finden Sie unter: http://linux.oracle.com/errata/ELSA-2021-3623.html

SUSE Security Update SUSE-SU-2021:3184-1 vom 2021-09-22 (22.09.2021)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2021-September/009484.html

Red Hat Security Advisory RHSA-2021:3639 vom 2021-09-22 (21.09.2021)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2021:3639

Red Hat Security Advisory RHSA-2021:3623 vom 2021-09-21 (21.09.2021)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2021:3623

Red Hat Security Advisory RHSA-2021:3638 vom 2021-09-22 (21.09.2021)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2021:3638

SUSE Security Update SUSE-SU-2021:2953-1 vom 2021-09-03 (05.09.2021)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2021-September/009403.html

SUSE Security Update SUSE-SU-2021:2875-1 vom 2021-08-30 (30.08.2021)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2021-August/009369.html

Red Hat Security Advisory RHSA-2021:3281 vom 2021-08-26 (26.08.2021)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2021:3281

Red Hat Security Advisory RHSA-2021:3280 vom 2021-08-26 (26.08.2021)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2021:3280

SUSE Security Update SUSE-SU-2021:2824-1 vom 2021-08-24 (24.08.2021)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2021-August/009338.html

SUSE Security Update SUSE-SU-2021:2823-1 vom 2021-08-24 (24.08.2021)
Weitere Informationen finden Sie unter: https://lists.suse.com/pipermail/sle-security-updates/2021-August/009337.html

Node.js Security Release vom 2021-08-11 (11.08.2021)
Weitere Informationen finden Sie unter: https://nodejs.org/en/blog/vulnerability/aug-2021-security-releases/

Versionshistorie dieser Sicherheitswarnung

Dies ist die 14. Version des vorliegenden IT-Sicherheitshinweises für jedes Node.js. Nebst Kundgabe weiterer Updates wird dieser Text aktualisiert. Änderungen oder Ergänzungen können Sie in dieser Versionshistorie nachlesen.

11.08.2021 – Initiale Halterung
24.08.2021 – Neue Updates von SUSE aufgenommen
26.08.2021 – Neue Updates von Red Hat aufgenommen
30.08.2021 – Neue Updates von SUSE aufgenommen
05.09.2021 – Neue Updates von SUSE aufgenommen
21.09.2021 – Neue Updates von Red Hat aufgenommen
22.09.2021 – Neue Updates von SUSE und Oracle Linux aufgenommen
23.09.2021 – Neue Updates von SUSE aufgenommen
27.09.2021 – Neue Updates von Oracle Linux und Red Hat aufgenommen
17.10.2021 – Neue Updates von F5 aufgenommen
21.10.2021 – Neue Updates von Arch Linux aufgenommen
21.08.2022 – Neue Updates von SUSE aufgenommen
05.10.2022 – Neue Updates von Debian aufgenommen
09.05.2024 – Neue Updates von Gentoo aufgenommen

+++ Redaktioneller Signal: Dieser Text wurde hinauf Lager aktueller BSI-Datenansammlung generiert und wird je nachdem Warnlage datengetrieben aktualisiert. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Verfolgen Sie News.de schon wohnhaft bei Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Kabel zur Redaktion.
kns/roj/news.de

Quelle

Ähnliche Artikel

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Schaltfläche "Zurück zum Anfang"