Mehrere Node.js-Schwachstellen in Ubuntu behoben
Die jüngsten Ubuntu-Sicherheitsupdates haben mehrere Node.js-Schwachstellen behoben, darunter Fehler mit hohem und kritischem Schweregrad in verschiedenen Ubuntu-Versionen. Diese Schwachstellen können zu einer Dienstverweigerung oder zur Preisgabe sensibler Informationen führen, wenn sie von Angreifern ausgenutzt werden. Es wird daher dringend empfohlen, die Node.js-Pakete zu aktualisieren, um die Sicherheit des Systems zu gewährleisten.
Node.js Sicherheitslücken in Ubuntu gepatcht
CVE-2019-15604
CVSS 3.x Bewertung: 7.5 Hoch
Die von Rogier Schouten entdeckte Schwachstelle wurde durch die fehlerhafte Verarbeitung bestimmter Eingaben durch Node.js verursacht. Wenn ein Benutzer oder ein automatisiertes System eine speziell gestaltete Eingabedatei öffnet, kann ein entfernter Angreifer dieses Problem nutzen, um einen Denial-of-Service zu verursachen. Ubuntu 16.04 LTS und Ubuntu 18.04 LTS Systeme sind nur von dieser Schwachstelle betroffen.
Beide Ubuntu-Versionen haben bereits das Ende ihrer Lebensdauer erreicht, daher ist das Update nur für Ubuntu Pro-Abonnenten verfügbar. Alternativ können Sie den Extended Lifecycle Support von TuxCare nutzen, um bis zu vier Jahre nach Ablauf des Lebenszyklus automatische Patches für Sicherheitslücken zu erhalten.
CVE-2019-15605
CVSS 3.x Score: 9.8 Kritisch
Ethan Rubinson hat eine Schwachstelle in Node.js identifiziert, bei der bestimmte Eingaben nicht korrekt verarbeitet werden. Ein entfernter Angreifer könnte diese Schwachstelle nutzen, um sensible Informationen zu erlangen, wenn er einen Benutzer oder ein automatisiertes System dazu bringen kann, eine speziell gestaltete Eingabedatei zu öffnen. Betroffen sind nur Ubuntu 16.04 LTS und Ubuntu 18.04 LTS Systeme.
CVE-2019-15606
CVSS 3.x Score: 9.8 Kritisch
Alyssa Wilk hat eine Schwachstelle in Node.js gefunden, die bestimmte Eingaben nicht richtig behandelt. Wenn ein Benutzer oder ein automatisiertes System dazu verleitet wurde, eine speziell gestaltete Eingabedatei zu öffnen, könnte dies einem entfernten Angreifer die Ausführung von beliebigem Code ermöglichen. Diese Sicherheitslücke war auf Ubuntu 16.04 LTS und Ubuntu 18.04 LTS beschränkt.
CVE-2020-8174
CVSS 3.x Bewertung: 8.1 Hoch
Tobias Niessen hat ein Problem in Node.js identifiziert, bei dem bestimmte Eingaben nicht korrekt verarbeitet werden. Wenn ein Benutzer oder ein automatisiertes System dazu verleitet wurde, eine speziell gestaltete Eingabedatei zu öffnen, könnte dies von einem entfernten Angreifer ausgenutzt werden, um einen Denial-of-Service auszulösen. Es sind nur Ubuntu 18.04 LTS und Ubuntu 20.04 LTS betroffen.
CVE-2020-8265 (CVSS 3.x Score: 8.1 Hoch), CVE-2020-8287 (CVSS 3.x Score: 6.5 Mittel)
In Node.js wurde eine Schwachstelle entdeckt, bei der bestimmte Eingaben nicht korrekt verarbeitet werden. Wenn ein Benutzer oder ein automatisiertes System dazu verleitet wird, eine speziell gestaltete Eingabedatei zu öffnen, kann dies möglicherweise zu einer Dienstverweigerung führen, wenn ein entfernter Angreifer dies ausnutzt.
CVE-2021-22883
CVSS 3.x Bewertung: 7.5 Hoch
In Node.js wurde eine Schwachstelle aufgrund einer unsachgemäßen Behandlung bestimmter Eingaben entdeckt. Wenn ein Benutzer oder ein automatisiertes System dazu verleitet wurde, eine speziell gestaltete Eingabedatei zu öffnen, könnte dies von einem entfernten Angreifer ausgenutzt werden, um einen Denial-of-Service auszulösen. Es ist wichtig zu beachten, dass dieses Problem nur in Ubuntu 20.04 LTS adressiert und behoben wurde.
CVE-2021-22884
CVSS 3.x Bewertung: 7.5 Hoch
Vít Šesták entdeckte eine Schwachstelle in Node.js, bei der bestimmte Eingaben nicht korrekt verarbeitet werden. Wenn ein Benutzer oder ein automatisiertes System dazu verleitet wurde, eine speziell gestaltete Eingabedatei zu öffnen, könnte dies einem entfernten Angreifer die Ausführung von beliebigem Code ermöglichen. Dieses Problem wurde in Ubuntu 20.04 LTS und Ubuntu 18.04 LTS behoben.
Abschließende Überlegungen
Alle diese Schwachstellen wurden in den neuen Paketversionen behoben, so dass Sie Ihre Node.js-Pakete aktualisieren müssen, um die Sicherheitsrisiken zu vermeiden. Sicherheit ist ein kontinuierlicher Prozess und erfordert, dass Sie wachsam bleiben und das System mit den neuesten Sicherheits-Patches und Best Practices sichern.
Verstärken Sie Ihr Ubuntu-System mit Linux-Kernel-Live-Patching. Nutzen Sie automatisierte Patching-Lösungen wie KernelCare Enterprise, die automatisch wichtige Sicherheitsupdates auf den Linux-Kernel anwenden, ohne dass ein Systemneustart erforderlich ist. So wird ein kontinuierlicher Betrieb sichergestellt und Ausfallzeiten werden minimiert. KernelCare unterstützt alle wichtigen Linux-Distributionen, darunter Ubuntu, Debian, AlmaLinux, RHEL, CentOS, Rocky Linux, CloudLinux, Oracle Linux, Amazon Linux und viele mehr.
Die Quellen für diesen Artikel finden Sie unter USN-6380-1 und USN-6418-1.