segunda-feira, 24 de fevereiro de 2020
Atualização importante de segurança da Red Hat para o nodejs: 10, aviso RedHat: RHSA-2020-0573: 01
Confira !!
Uma atualização para o módulo nodejs: 10 está agora disponível para o Red Hat Enterprise Linux 8.0 Update Services para soluções SAP. A Red Hat Product Security classificou esta atualização como tendo um impacto na segurança de Importante. Uma pontuação básica do sistema de pontuação de vulnerabilidade comum (CVSS),
----- COMECE A MENSAGEM ASSINADA PGP -----
Hash: SHA256
==================================================== ===================
Aviso de Segurança da Red Hat
Sinopse: Importante: nodejs: 10 update de segurança
ID do comunicado: RHSA-2020: 0573-01
Produto: Red Hat Enterprise Linux
URL do comunicado: https://access.redhat.com/errata/RHSA-2020:0573
Data de emissão: 2020-02-24
Nomes do CVE: CVE-2019-15604 CVE-2019-15605 CVE-2019-15606
CVE-2019-16775 CVE-2019-16776 CVE-2019-16777
==================================================== ===================
1. Resumo:
Uma atualização para o módulo nodejs: 10 está agora disponível para o Red Hat Enterprise
Serviços de atualização do Linux 8.0 para soluções SAP.
A Red Hat Product Security avaliou esta atualização como tendo um impacto na segurança
de Importante. Uma pontuação básica do sistema de pontuação de vulnerabilidade comum (CVSS),
que fornece uma classificação de gravidade detalhada, está disponível para cada vulnerabilidade
no link CVE na seção References.
2. Versões / arquiteturas relevantes:
Red Hat Enterprise Linux AppStream E4S (v. 8.0) - aarch64, noarch, ppc64le, s390x, x86_64
3. Descrição:
O Node.js é uma plataforma de desenvolvimento de software para criação rápida e escalável
aplicativos de rede na linguagem de programação JavaScript.
Os seguintes pacotes foram atualizados para uma versão posterior do upstream:
nodejs (10.19.0).
Correção (s) de segurança:
* nodejs: contrabando de solicitação HTTP usando o cabeçalho Transfer-Encoding malformado
(CVE-2019-15605)
* nodejs: dispara remotamente uma asserção em um servidor TLS com um formato incorreto
sequência de certificados (CVE-2019-15604)
* nodejs: os valores do cabeçalho HTTP não têm espaço em branco opcional à direita
aparado (CVE-2019-15606)
* npm: referência de link simbólico fora da pasta node_modules através da lixeira
campo após a instalação (CVE-2019-16775)
* npm: gravação arbitrária de arquivo via entrada construída no pacote package.json bin
campo (CVE-2019-16776)
* npm: Substituição binária global node_modules (CVE-2019-16777)
Para mais detalhes sobre os problemas de segurança, incluindo o impacto, um CVSS
pontuação, agradecimentos e outras informações relacionadas, consulte o CVE
páginas listadas na seção Referências.
4. Solução:
Para detalhes sobre como aplicar esta atualização, que inclui as alterações
descrito neste comunicado, consulte:
https://access.redhat.com/articles/11258
5. Bugs corrigidos (https://bugzilla.redhat.com/):
1788301 - CVE-2019-16777 npm: Substituição binária do node_modules global
1788305 - CVE-2019-16775 npm: referência de link simbólico fora da pasta node_modules através do campo bin na instalação
1788310 - CVE-2019-16776 npm: gravação de arquivo arbitrário via entrada construída no campo package.json bin
1800364 - CVE-2019-15605 nodejs: contrabando de solicitação HTTP usando o cabeçalho Transfer-Encoding malformado
1800366 - CVE-2019-15606 nodejs: os valores do cabeçalho HTTP não possuem espaço em branco opcional à direita aparado
1800367 - CVE-2019-15604 nodejs: aciona remotamente uma asserção em um servidor TLS com uma cadeia de certificados malformada
6. Lista de Pacotes:
Red Hat Enterprise Linux AppStream E4S (versão 8.0):
Fonte:
nodejs-10.19.0-1.module + el8.0.0 + 5738 + 1362a79c.src.rpm
nodejs-nodemon-1.18.3-1.module + el8 + 2632 + 6c5111ed.src.rpm
nodejs-packaging-17-3.module + el8 + 2873 + aa7dfd9a.src.rpm
aarch64:
nodejs-10.19.0-1.module + el8.0.0 + 5738 + 1362a79c.aarch64.rpm
nodejs-debuginfo-10.19.0-1.module + el8.0.0 + 5738 + 1362a79c.aarch64.rpm
nodejs-debugsource-10.19.0-1.module + el8.0.0 + 5738 + 1362a79c.aarch64.rpm
nodejs-devel-10.19.0-1.module + el8.0.0 + 5738 + 1362a79c.aarch64.rpm
npm-6.13.4-1.10.19.0.1.module + el8.0.0 + 5738 + 1362a79c.aarch64.rpm
noarch:
nodejs-docs-10.19.0-1.module + el8.0.0 + 5738 + 1362a79c.noarch.rpm
nodejs-nodemon-1.18.3-1.module + el8 + 2632 + 6c5111ed.noarch.rpm
nodejs-packaging-17-3.module + el8 + 2873 + aa7dfd9a.noarch.rpm
ppc64le:
nodejs-10.19.0-1.module + el8.0.0 + 5738 + 1362a79c.ppc64le.rpm
nodejs-debuginfo-10.19.0-1.module + el8.0.0 + 5738 + 1362a79c.ppc64le.rpm
nodejs-debugsource-10.19.0-1.module + el8.0.0 + 5738 + 1362a79c.ppc64le.rpm
nodejs-devel-10.19.0-1.module + el8.0.0 + 5738 + 1362a79c.ppc64le.rpm
npm-6.13.4-1.10.19.0.1.module + el8.0.0 + 5738 + 1362a79c.ppc64le.rpm
s390x:
nodejs-10.19.0-1.module + el8.0.0 + 5738 + 1362a79c.s390x.rpm
nodejs-debuginfo-10.19.0-1.module + el8.0.0 + 5738 + 1362a79c.s390x.rpm
nodejs-debugsource-10.19.0-1.module + el8.0.0 + 5738 + 1362a79c.s390x.rpm
nodejs-devel-10.19.0-1.module + el8.0.0 + 5738 + 1362a79c.s390x.rpm
npm-6.13.4-1.10.19.0.1.module + el8.0.0 + 5738 + 1362a79c.s390x.rpm
x86_64:
nodejs-10.19.0-1.module + el8.0.0 + 5738 + 1362a79c.x86_64.rpm
nodejs-debuginfo-10.19.0-1.module + el8.0.0 + 5738 + 1362a79c.x86_64.rpm
nodejs-debugsource-10.19.0-1.module + el8.0.0 + 5738 + 1362a79c.x86_64.rpm
nodejs-devel-10.19.0-1.module + el8.0.0 + 5738 + 1362a79c.x86_64.rpm
nodejs-devel-debuginfo-10.19.0-1.module + el8.0.0 + 5738 + 1362a79c.x86_64.rpm
npm-6.13.4-1.10.19.0.1.module + el8.0.0 + 5738 + 1362a79c.x86_64.rpm
Esses pacotes são GPG assinados pela Red Hat por segurança. Nossa chave e
detalhes sobre como verificar a assinatura estão disponíveis em
https://access.redhat.com/security/team/key/
7. Referências:
https://access.redhat.com/security/cve/CVE-2019-15604
https://access.redhat.com/security/cve/CVE-2019-15605
https://access.redhat.com/security/cve/CVE-2019-15606
https://access.redhat.com/security/cve/CVE-2019-16775
https://access.redhat.com/security/cve/CVE-2019-16776
https://access.redhat.com/security/cve/CVE-2019-16777
https://access.redhat.com/security/updates/classification/#important
8. Contato:
O contato de segurança da Red Hat é . Mais contato
detalhes em https://access.redhat.com/security/team/contact/
Direitos autorais 2020 Red Hat, Inc.
----- INICIAR ASSINATURA PGP -----
Versão: GnuPG v1
iQIVAwUBXlPHb9zjgjWX9erEAQicUA // TvdcLTX / 3tmlR / 1zNrcwOZmh5H0maUGe
70a1WaDVGSyediupoN0ciTX6cRZl + LIIUixCWPFSdx3R0dUN0EsC2yo3kMF / Uro4
jLEduQcSydKBxWIfKk7TdAAizJaREhw3UDh31yb5rRvfzKtuPq0Owe4dwECmSoa5
udrTfrg3rUFNlE8baUfsDL1nQcjwXXv + gBKm9zeejn3eK + 52e0KyBliWt8hEfKlK
isze1VNIAPcbog11DkykS5Npw7 / Xc6oDWWb2mnOCZJlECPZRBhjqQRigqUYOsjCk
IKKYp7JpZ4 / o3n + I + lYHr2YR + dymiKV8QDcOMkYu3AzvDeJjxNZKcwNZ8Ih57NRd
ukSDoFs0bn + ZUh8TUxBzTq6SBpoLqI6tNsz9tHdhhjXSyGXg2JwgStajsLpY4p74
gzqixyFZSV6EpOd + xPTBq2bKZ8zsOAguis6 / wLRCge2OA0mEm3b6xn5RxXmPEbrj
bDEffo1gVrsJvyr9koZbLjJMb6U0kI + tL2LKG + sMDUXWuwBVoSg9SWe / gij8Glr4
P + ilHQY7rY4eheyjEdtFtyc0WHI4vAXg / QQQG6HpWcbXjRGcO6B8MXzQESY3Nwhb
i6XYEG9B89c8WSdLDe6taGTPqBAvbNGHbrRZ7mPJryspLSP7DouFwE2rwg3vtL + F
6Ppj / Dezf + c =
= RUSZ
----- TERMINAR ASSINATURA PGP -----
-
RHSA-anunciar lista de discussão
RHSA-announce@redhat.com
https://www.redhat.com/mailman/listinfo/rhsa-announce
Fonte
Até a próxima !!
Marcadores: Linux, Android, Segurança
Linux,
linux distros,
Linux Segurança,
Notícia
Assinar:
Postar comentários (Atom)
Nenhum comentário:
Postar um comentário