NodeJS-päivitys korjaa haavoittuvuuksia

NodeJS on palvelinohjelmistojen luomiseen tarkoitettu JavaScipt-toteutus. NodeJS-ohjelmiston käyttö on yleistynyt viime vuosien aikana internet-palvelujen toteuttamisessa.

NodeJS-ohjelmistosta on löydetty kaksi haavoittuvuutta, joiden avulla hyökkääjä voi aiheuttaa palvelunestotilan. Toinen haavoittuvuuksista (CVE-2015-6764) edellyttää, että hyökkääjä voi syöttää palveluun omaa JavaScript-koodiaan. NodeJS on lisäksi haavoittuva kahteen Haavoittuvuustiedotteessa 114/2015 mainituista OpenSSL-haavoittuvuuksista.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Palvelimet ja palvelinsovellukset
Lisätietoa +

Hyökkäystapa

  • Ilman kirjautumista
  • Etäkäyttö
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Palvelunestohyökkäys
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Korjaava ohjelmistopäivitys
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

  • NodeJS 0.12-sarjan versiota 0.12.9 aikaisemmat versiot
  • NodeJS 4-sarjan versiota 4.2.3 aikaisemmat versiot
  • NodeJS 5-sarjan versiota 5.1.1 aikaisemmat versiot

NodeJS 0.10-sarjan versiot eivät ole haavoittuvia. Toinen haavoittuvuuksista (CVE-2015-6764) ei koske sarjan 0.12 versioita.

Ratkaisu- ja rajoitusmahdollisuudet:

Haavoittuvuuteen on julkaistu korjaava ohjelmistopäivitys.

Lisätietoa:

Päivityshistoria

Asiasanat: Tietoturva , CERT

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248