Múltiples vulnerabilidades en Node.js
Fecha de publicación: 28/08/2018
Importancia:
Alta
Recursos afectados:
- node versiones anteriores a 10.9.0
- node8 versiones anteriores a 8.11.4
- node6 versiones anteriores a 6.14.4
Descripción:
Se han publicado varias vulnerabilidades de node.js que podrían permitir a un atacante provocar una denegación de servicio, extraer claves privadas DSA o ECDSA, obtener información sensible o hacer que el proceso Node.js deje de funcionar.
Solución:
Actualizar a una de las versiones que solucionan las vulnerabilidades descritas en este aviso:
Detalle:
- OpenSSL: una atacante podría ser capaz de extraer las claves DSA o ECDSA creando varias firmas y observando las respuestas de los clientes.
- Vulnerabilidad en Buffer.alloc(): un usuario malintencionado podría pasar un parámetro en formato incorrecto a la función Buffer.alloc(), la cual lo malinterpretaría, pudiendo llegar a devolver bloques de memoria no eliminada que podrían contener información sensible. Se ha reservado el identificador CVE-2018-7166 para esta vulnerabilidad.
- Escritura fuera de límites: en ciertas condiciones, no se calcula correctamente la longitud máxima de bytes de entrada de un búfer específico, por lo que se escribiría fuera de los límites de la memoria asignada a dicho búfer, lo que podría ocasionar que el proceso Node.js dejara de funcionar. Se ha reservado el identificador CVE-2018-12115 para esta vulnerabilidad.
Etiquetas:
Actualización, Privacidad, Vulnerabilidad
Powered by WPeMatico