帰ってきた「しっぽのさきっちょ」

しっぽのさきっちょ: 2015-12-05 付 (2016-12-26 更新)

Node.js : Security Update

no extension

前々から予告があったが node.js に関する複数の脆弱性に対するアップデートが行われた。

なお, CVSS については解説ページを参照のこと。

CVE-2015-8027 Denial of Service Vulnerability

CVSSv3 基本評価値 7.5 (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)

基本評価基準 評価値
攻撃元区分(AV) ネットワーク(N)
攻撃条件の複雑さ(AC) 低(L)
必要な特権レベル(PR) 不要(N)
ユーザ関与レベル(UI) 不要(N)
スコープ(S) 変更なし (U)
情報漏えいの可能性(機密性への影響, C) なし(N)
情報改ざんの可能性(完全性への影響, I) なし(N)
業務停止の可能性(可用性への影響, A) 高(H)

CVE-2015-6764 V8 Out-of-bounds Access Vulnerability

CVSSv3 基本評価値 4.4 (CVSS:3.0/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:N/A:H)

基本評価基準 評価値
攻撃元区分(AV) ネットワーク(N)
攻撃条件の複雑さ(AC) 高(H)
必要な特権レベル(PR) 高(H)
ユーザ関与レベル(UI) 不要(N)
スコープ(S) 変更なし (U)
情報漏えいの可能性(機密性への影響, C) なし(N)
情報改ざんの可能性(完全性への影響, I) なし(N)
業務停止の可能性(可用性への影響, A) 高(H)

CVE-2015-3193 OpenSSL BN_mod_exp may produce incorrect results on x86_64

CVSSv2 基本評価値 2.6 (AV:N/AC:H/Au:N/C:P/I:N/A:N)Redhat による評価

基本評価基準 評価値
攻撃元区分(AV) ネットワーク(N)
攻撃条件の複雑さ(AC) 高(H)
攻撃前の認証要否(Au) 不要(N)
情報漏えいの可能性(機密性への影響, C) 部分的(P)
情報改ざんの可能性(完全性への影響, I) なし(N)
業務停止の可能性(可用性への影響, A) なし(N)

CVE-2015-3194 OpenSSL Certificate verify crash with missing PSS parameter

CVSSv2 基本評価値 4.3 (AV:N/AC:M/Au:N/C:N/I:N/A:P)Redhat による評価

基本評価基準 評価値
攻撃元区分(AV) ネットワーク(N)
攻撃条件の複雑さ(AC) 中(M)
攻撃前の認証要否(Au) 不要(N)
情報漏えいの可能性(機密性への影響, C) なし(N)
情報改ざんの可能性(完全性への影響, I) なし(N)
業務停止の可能性(可用性への影響, A) 部分的(P)

なお, OpenSSL に関しては他にも複数の脆弱性が報告されている。

影響のあるバージョン

node.js バージョン CVE-2015-8027 CVE-2015-6764 CVE-2015-3193 CVE-2015-3193
Node v0.10.41 未満
Node v0.12.9 未満
Node v4.2.3 未満
Node v5.1.1 未満

この機会に v5.x に上げようか…