Se han publicado
varias vulnerabilidades de node.js que podrían permitir a un atacante provocar
una denegación de servicio, extraer claves privadas DSA o ECDSA, obtener
información sensible o hacer que el proceso Node.js deje de funcionar,
catalogadas de Importancia: 4 - Alta
Recursos
afectados:
1. node versiones
anteriores a 10.9.0
2. node8 versiones
anteriores a 8.11.4
3. node6 versiones
anteriores a 6.14.4
Recomendación
Actualizar a una de las versiones que
solucionan las vulnerabilidades descritas en este aviso:
- Node.js 10.9.0 (Current)
- Node.js 8.11.4 (LTS "Carbon")
- Node.js 6.14.4 (LTS "Boron")
Detalle
de vulnerabilidades
- OpenSSL: una
atacante podría ser capaz de extraer las claves DSA o ECDSA creando varias
firmas y observando las respuestas de los clientes.
- Vulnerabilidad
en Buffer.alloc(): un usuario malintencionado podría pasar un parámetro en
formato incorrecto a la función Buffer.alloc(), la cual lo
malinterpretaría, pudiendo llegar a devolver bloques de memoria no
eliminada que podrían contener información sensible. Se ha reservado el
identificador CVE-2018-7166 para esta vulnerabilidad.
- Escritura fuera
de límites: en ciertas condiciones, no se calcula correctamente la
longitud máxima de bytes de entrada de un búfer específico, por lo que se
escribiría fuera de los límites de la memoria asignada a dicho búfer, lo
que podría ocasionar que el proceso Node.js dejara de funcionar. Se ha reservado
el identificador CVE-2018-12115 para esta vulnerabilidad.
Más
información
- August 2018 Security Releases https://nodejs.org/en/blog/vulnerability/august-2018-security-releases/
Fuente: INCIBE