Múltiples vulnerabilidades en Node.js

Fecha de publicación: 28/08/2018

Importancia:
Alta

Recursos afectados:

• node versiones anteriores a 10.9.0
• node8 versiones anteriores a 8.11.4
• node6 versiones anteriores a 6.14.4

Descripción:

Se han publicado varias vulnerabilidades de node.js que podrían permitir a un atacante provocar una denegación de servicio, extraer claves privadas DSA o ECDSA, obtener información sensible o hacer que el proceso Node.js deje de funcionar.

Solución:

Actualizar a una de las versiones que solucionan las vulnerabilidades descritas en este aviso:

• Node.js 10.9.0 (Current)
• Node.js 8.11.4 (LTS “Carbon”)
• Node.js 6.14.4 (LTS “Boron”)

Detalle:

• OpenSSL: una atacante podría ser capaz de extraer las claves DSA o ECDSA creando varias firmas y observando las respuestas de los clientes.
• Vulnerabilidad en Buffer.alloc(): un usuario malintencionado podría pasar un parámetro en formato incorrecto a la función Buffer.alloc(), la cual lo malinterpretaría, pudiendo llegar a devolver bloques de memoria no eliminada que podrían contener información sensible. Se ha reservado el identificador CVE-2018-7166 para esta vulnerabilidad.
• Escritura fuera de límites: en ciertas condiciones, no se calcula correctamente la longitud máxima de bytes de entrada de un búfer específico, por lo que se escribiría fuera de los límites de la memoria asignada a dicho búfer, lo que podría ocasionar que el proceso Node.js dejara de funcionar. Se ha reservado el identificador CVE-2018-12115 para esta vulnerabilidad.

Etiquetas:
Actualización, Privacidad, Vulnerabilidad