[Sec-cert] DFN-CERT-2013-1328 Schwachstelle in node.js [Linux][Fedora]

portal at dfn-cert.de portal at dfn-cert.de
Di Jul 23 10:56:38 CEST 2013


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

  Pakete Nodejs-inherits1, Nodejs-lockfile, Nodejs-read-installed,
  Nodejs-tunnel-agent, Nodejs-hoek, Nodejs-fstream,
  Nodejs-child-process-close, Nodejs-sha, Nodejs-fstream-ignore, Npm,
  Nodejs-glob, Nodejs-editor, Nodejs-graceful-fs, Nodejs-callsite,
  Nodejs-read-package-json, Nodejs-vows, Nodejs-ansi, Nodejs-boom,
  Nodejs-json-stringify-safe, Node-gyp, Nodejs-init-package-json,
  Nodejs-slide, Nodejs-couch-login, Nodejs-form-data, Nodejs-cookie-jar,
  Nodejs-semver, Nodejs-hawk, Nodejs-github-url-from-git,
  Nodejs-normalize-package-data, Nodejs-cmd-shim, Nodejs-oauth-sign,
  Nodejs-npmlog, Nodejs-http-signature, Nodejs-npmlog, Nodejs-asn1,
  Nodejs-forever-agent, Nodejs-request, Nodejs-npm-registry-client,
  Nodejs-config-chain, Nodejs-cryptiles, Nodejs-fstream-npm, Nodejs-npmconf,
  Nodejs-graceful-fs, Nodejs-inherits, Nodejs-sntp, Nodejs-aws-sign,
  Nodejs-npm-user-validate, Nodejs-rimraf, Nodejs-better-assert, Nodejs-ctype,
  Nodejs-tap

Betroffene Plattformen:

  Fedora 18
  Fedora 19


Eine Schwachstelle in node.js ermöglicht einem lokalen Angreifer beliebige
Dateien zu überschreiben.


Software Upgrade:

  Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

  <http://dl.fedoraproject.org/pub/fedora/linux/updates/>


CVE-2013-4116: Schwachstelle in node.js

  Im Paket-Manager von node.js wird ein temporäres Verzeichnis in unsicherer
  Weise erstellt und verwendet. Dies ermöglicht einem lokalen Angreifer einen
  SymLink-Angriff durchzuführen und somit beliebige Dateien mit den Rechten
  des Benutzer des Paket-Managers zu überschreiben.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2013-1328/>

Das Hersteller Advisory:
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112120.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112181.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112139.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112144.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112131.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112153.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112149.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112180.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112130.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112156.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112175.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112143.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112158.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112162.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112161.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112115.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112140.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112151.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112122.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112147.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112155.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112135.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112157.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112134.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112148.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112137.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112129.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112124.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112159.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112132.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112176.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112117.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112163.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/110408.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112118.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112138.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112154.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112179.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112133.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112127.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112146.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112160.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112123.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112125.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112128.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112136.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112178.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112152.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112150.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112141.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112121.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112119.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112116.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112172.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112177.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112173.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112126.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112174.html>
  <http://lists.fedoraproject.org/pipermail/package-announce/2013-July/112145.html>

Schwachstelle CVE-2013-4116:
  <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4116>


(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 4335 bytes
Beschreibung: nicht verfügbar
URL         : <https://listserv.uni-hohenheim.de/pipermail/sec-cert/attachments/20130723/47b84a90/attachment-0001.p7s>


Mehr Informationen über die Mailingliste Sec-cert