Bundesamt für Sicherheit in der Informationstechnik

CB-K17/1028 Update 3

Risikostufe 2

Titel:Node.js, c-ares: Eine Schwachstelle ermöglicht das Ausspähen von InformationenDatum:17.07.2017Software:c-ares < 1.13.0, Node.jsPlattform:SUSE Linux Enterprise Software Development Kit 12 SP2, SUSE Linux Enterprise Workstation Extension 12 SP2, openSUSE Leap 42.2, SUSE Linux Enterprise Desktop 12 SP2, SUSE Linux Enterprise Server 12 SP2, SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi, Red Hat Fedora 24, Red Hat Fedora 25, Red Hat Fedora 26, Extra Packages for Red Hat Enterprise Linux 7Auswirkung:Ausspähen von InformationenRemoteangriff:JaRisiko:niedrigCVE Liste:CVE-2017-1000381Bezug: Fedora Security Update FEDORA-2017-ba1399832b (Fedora 25, c-ares-1.13.0-1)

Beschreibung

c-ares ist eine C-Bibliothek für asynchrone DNS-Anfragen (inklusive Namensauflösung).

Node.js ist eine Plattform, die auf der JavaScript-Engine von Chrome basiert und für die einfache Erstellung von schnellen, skalierbaren Netzwerkanwendungen entwickelt wurde.

Eine Schwachstelle in c-ares ermöglicht einem entfernten, nicht authentisierten Angreifer mit Hilfe einer speziell präparierten DNS-Antwort Lesezugriffe auf Speicherbereiche außerhalb der gültigen Speichergrenzen durchzuführen und so Informationen auszuspähen. Für Fedora 24, 25 und 26 steht c-ares in der Version 1.13.0 als Sicherheitsupdate bereit. Die Sicherheitsupdates für Fedora 24 und 25 befinden sich im Status 'testing' und das Sicherheitsupdate für Fedora 26 ist im Status 'pending'.