WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Lỗ hổng DoS có mức ảnh hưởng cao trong Node từ 0.12.x đến 5.x. Hãy cập nhật ngay
Hai vấn đề an ninh được xác định trong mã nền Node.js, bao gồm một lỗ hổng có mức ảnh hưởng cao, ảnh hưởng các phiên bản Node.js từ 0.12.x đến 5.x.
Node.js công bố những lỗ hổng này vào cuối tháng 11 và lên kế hoạch phát hành bản vá vào đầu tuần này. Nhưng do OpenSSL cũng sẽ đưa ra các bản vá an ninh, Node lui thời gian cập nhật để OpenSSL cùng phát hành bản vá.
Hôm nay, các nhà phát triển của OpenSSL đã đưa ra các phiên bản 1.0.2e, 1.0.1q, 1.0.0t và 0.9.8zh, sửa các lỗi cho CVE-2015-3193, CVE-2015-3194, và CVE-2015-3195, tất cả đều là các lỗ hổng an ninh mức trung bình.
Như đã thông báo, Node.js ngay sau đó đã phát hành các phiên bản Node.js 5.1.1, 4.2.3, 0.12.9, và 0.10.41.
Lỗ hổng có mức ảnh hưởng cao trong Node.js, hãy vá ngay!
Những phát hành này vá một lỗ hổng DoS (Denial of Service) (CVE-2015-8027) ảnh hưởng các phiên bản Node.js từ 0.12.x đến 5.x, và một lỗ hổng truy cập out-of-bounds (CVE-2015-6764) ảnh hưởng đến Node.js phiên bản 4.x và 5.x.
Trong đó, lỗ hổng DoS là lỗ hổng có mức ảnh hưởng cao, với số điểm CVSS là 7,5 (trên 10). Lỗ hổng này được phát hiện bởi Fedor Indutny, thành viên chủ chốt của Node.js và như Node miêu tả, liên quan đến kỹ thuật HTTP pipelining (kỹ thuật cho phép gửi nhiều yêu cầu HTTP mà không cần phản hồi).
Kẻ tấn công có thể sử dụng lỗ hổng này để kích hoạt các cuộc tấn công mạng lưới trên các máy chủ Node.js, và crash máy chủ mà không cần bất kỳ loại hình tương tác người dùng. Chỉ các ứng dụng Node.js sử dụng JavaScript được người dùng cung cấp là có nguy cơ có lỗ hổng này.
Chi tiết về các CVEs Node.js sẽ sớm được phát hành trên MITRE, sau khi các quản trị web có một khoảng thời gian hợp lý để vá hệ thống của họ.
Vì Node.js phiên bản v0.10.x và 0.12.x phụ thuộc vào OpenSSL 1.0.1x và phiên bản v4.x (LTS Argon) và 5.x phụ thuộc vào OpenSSL 1.0.2x, các bản cập nhật OpenSSL gần đây cũng đã được bao gồm trong các phiên bản Node.js thích hợp.
Nguồn: Softpedia
Node.js công bố những lỗ hổng này vào cuối tháng 11 và lên kế hoạch phát hành bản vá vào đầu tuần này. Nhưng do OpenSSL cũng sẽ đưa ra các bản vá an ninh, Node lui thời gian cập nhật để OpenSSL cùng phát hành bản vá.
Hôm nay, các nhà phát triển của OpenSSL đã đưa ra các phiên bản 1.0.2e, 1.0.1q, 1.0.0t và 0.9.8zh, sửa các lỗi cho CVE-2015-3193, CVE-2015-3194, và CVE-2015-3195, tất cả đều là các lỗ hổng an ninh mức trung bình.
Như đã thông báo, Node.js ngay sau đó đã phát hành các phiên bản Node.js 5.1.1, 4.2.3, 0.12.9, và 0.10.41.
Lỗ hổng có mức ảnh hưởng cao trong Node.js, hãy vá ngay!
Những phát hành này vá một lỗ hổng DoS (Denial of Service) (CVE-2015-8027) ảnh hưởng các phiên bản Node.js từ 0.12.x đến 5.x, và một lỗ hổng truy cập out-of-bounds (CVE-2015-6764) ảnh hưởng đến Node.js phiên bản 4.x và 5.x.
Trong đó, lỗ hổng DoS là lỗ hổng có mức ảnh hưởng cao, với số điểm CVSS là 7,5 (trên 10). Lỗ hổng này được phát hiện bởi Fedor Indutny, thành viên chủ chốt của Node.js và như Node miêu tả, liên quan đến kỹ thuật HTTP pipelining (kỹ thuật cho phép gửi nhiều yêu cầu HTTP mà không cần phản hồi).
Kẻ tấn công có thể sử dụng lỗ hổng này để kích hoạt các cuộc tấn công mạng lưới trên các máy chủ Node.js, và crash máy chủ mà không cần bất kỳ loại hình tương tác người dùng. Chỉ các ứng dụng Node.js sử dụng JavaScript được người dùng cung cấp là có nguy cơ có lỗ hổng này.
Chi tiết về các CVEs Node.js sẽ sớm được phát hành trên MITRE, sau khi các quản trị web có một khoảng thời gian hợp lý để vá hệ thống của họ.
Vì Node.js phiên bản v0.10.x và 0.12.x phụ thuộc vào OpenSSL 1.0.1x và phiên bản v4.x (LTS Argon) và 5.x phụ thuộc vào OpenSSL 1.0.2x, các bản cập nhật OpenSSL gần đây cũng đã được bao gồm trong các phiên bản Node.js thích hợp.
Nguồn: Softpedia