7 de septiembre de 2018

Múltiples vulnerabilidades en Node.js

Se han publicado varias vulnerabilidades de node.js que podrían permitir a un atacante provocar una denegación de servicio, extraer claves privadas DSA o ECDSA, obtener información sensible o hacer que el proceso Node.js deje de funcionar, catalogadas de Importancia: 4 - Alta
Recursos afectados:
1.    node versiones anteriores a 10.9.0
2.    node8 versiones anteriores a 8.11.4
3.    node6 versiones anteriores a 6.14.4
Recomendación
Actualizar a una de las versiones que solucionan las vulnerabilidades descritas en este aviso:
  • Node.js 10.9.0 (Current)
  • Node.js 8.11.4 (LTS "Carbon")
  • Node.js 6.14.4 (LTS "Boron")
Detalle de vulnerabilidades
  • OpenSSL: una atacante podría ser capaz de extraer las claves DSA o ECDSA creando varias firmas y observando las respuestas de los clientes.
  • Vulnerabilidad en Buffer.alloc(): un usuario malintencionado podría pasar un parámetro en formato incorrecto a la función Buffer.alloc(), la cual lo malinterpretaría, pudiendo llegar a devolver bloques de memoria no eliminada que podrían contener información sensible. Se ha reservado el identificador CVE-2018-7166 para esta vulnerabilidad.
  • Escritura fuera de límites: en ciertas condiciones, no se calcula correctamente la longitud máxima de bytes de entrada de un búfer específico, por lo que se escribiría fuera de los límites de la memoria asignada a dicho búfer, lo que podría ocasionar que el proceso Node.js dejara de funcionar. Se ha reservado el identificador CVE-2018-12115 para esta vulnerabilidad.
Más información
Fuente: INCIBE