Múltiples vulnerabilidades en Node.js

Fecha de publicación: 28/08/2018

Importancia:
Alta

Recursos afectados:

  • node versiones anteriores a 10.9.0
  • node8 versiones anteriores a 8.11.4
  • node6 versiones anteriores a 6.14.4

Descripción:

Se han publicado varias vulnerabilidades de node.js que podrían permitir a un atacante provocar una denegación de servicio, extraer claves privadas DSA o ECDSA, obtener información sensible o hacer que el proceso Node.js deje de funcionar.

Solución:

Actualizar a una de las versiones que solucionan las vulnerabilidades descritas en este aviso:

Detalle:

  • OpenSSL: una atacante podría ser capaz de extraer las claves DSA o ECDSA creando varias firmas y observando las respuestas de los clientes.
  • Vulnerabilidad en Buffer.alloc(): un usuario malintencionado podría pasar un parámetro en formato incorrecto a la función Buffer.alloc(), la cual lo malinterpretaría, pudiendo llegar a devolver bloques de memoria no eliminada que podrían contener información sensible. Se ha reservado el identificador CVE-2018-7166 para esta vulnerabilidad.
  • Escritura fuera de límites: en ciertas condiciones, no se calcula correctamente la longitud máxima de bytes de entrada de un búfer específico, por lo que se escribiría fuera de los límites de la memoria asignada a dicho búfer, lo que podría ocasionar que el proceso Node.js dejara de funcionar. Se ha reservado el identificador CVE-2018-12115 para esta vulnerabilidad.

Encuesta valoración

Etiquetas:
Actualización, Privacidad, Vulnerabilidad

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.