Action not permitted
Modal body text goes here.
Modal Title
Modal Body
CVE-2021-37713 (GCVE-0-2021-37713)
Vulnerability from cvelistv5
Published
2021-08-31 16:50
Modified
2024-08-04 01:23
Severity ?
VLAI Severity ?
EPSS score ?
CWE
- CWE-22 - Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')
Summary
The npm package "tar" (aka node-tar) before versions 4.4.18, 5.0.10, and 6.1.9 has an arbitrary file creation/overwrite and arbitrary code execution vulnerability. node-tar aims to guarantee that any file whose location would be outside of the extraction target directory is not extracted. This is, in part, accomplished by sanitizing absolute paths of entries within the archive, skipping archive entries that contain `..` path portions, and resolving the sanitized paths against the extraction target directory. This logic was insufficient on Windows systems when extracting tar files that contained a path that was not an absolute path, but specified a drive letter different from the extraction target, such as `C:some\path`. If the drive letter does not match the extraction target, for example `D:\extraction\dir`, then the result of `path.resolve(extractionDirectory, entryPath)` would resolve against the current working directory on the `C:` drive, rather than the extraction target directory. Additionally, a `..` portion of the path could occur immediately after the drive letter, such as `C:../foo`, and was not properly sanitized by the logic that checked for `..` within the normalized and split portions of the path. This only affects users of `node-tar` on Windows systems. These issues were addressed in releases 4.4.18, 5.0.10 and 6.1.9. The v3 branch of node-tar has been deprecated and did not receive patches for these issues. If you are still using a v3 release we recommend you update to a more recent version of node-tar. There is no reasonable way to work around this issue without performing the same path normalization procedures that node-tar now does. Users are encouraged to upgrade to the latest patched versions of node-tar, rather than attempt to sanitize paths themselves.
References
| ► | URL | Tags | |||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
|||||||||||||||||||||||||||||||||||
Impacted products
{
"containers": {
"adp": [
{
"providerMetadata": {
"dateUpdated": "2024-08-04T01:23:01.533Z",
"orgId": "af854a3a-2127-422b-91ae-364da2661108",
"shortName": "CVE"
},
"references": [
{
"tags": [
"x_refsource_MISC",
"x_transferred"
],
"url": "https://www.npmjs.com/package/tar"
},
{
"tags": [
"x_refsource_CONFIRM",
"x_transferred"
],
"url": "https://github.com/npm/node-tar/security/advisories/GHSA-5955-9wpr-37jh"
},
{
"tags": [
"x_refsource_MISC",
"x_transferred"
],
"url": "https://www.oracle.com/security-alerts/cpuoct2021.html"
},
{
"tags": [
"x_refsource_CONFIRM",
"x_transferred"
],
"url": "https://cert-portal.siemens.com/productcert/pdf/ssa-389290.pdf"
}
],
"title": "CVE Program Container"
}
],
"cna": {
"affected": [
{
"product": "node-tar",
"vendor": "npm",
"versions": [
{
"status": "affected",
"version": "\u003c 4.4.18"
},
{
"status": "affected",
"version": "\u003e= 5.0.0, \u003c 5.0.10"
},
{
"status": "affected",
"version": "\u003e= 6.0.0, \u003c 6.1.9"
}
]
}
],
"descriptions": [
{
"lang": "en",
"value": "The npm package \"tar\" (aka node-tar) before versions 4.4.18, 5.0.10, and 6.1.9 has an arbitrary file creation/overwrite and arbitrary code execution vulnerability. node-tar aims to guarantee that any file whose location would be outside of the extraction target directory is not extracted. This is, in part, accomplished by sanitizing absolute paths of entries within the archive, skipping archive entries that contain `..` path portions, and resolving the sanitized paths against the extraction target directory. This logic was insufficient on Windows systems when extracting tar files that contained a path that was not an absolute path, but specified a drive letter different from the extraction target, such as `C:some\\path`. If the drive letter does not match the extraction target, for example `D:\\extraction\\dir`, then the result of `path.resolve(extractionDirectory, entryPath)` would resolve against the current working directory on the `C:` drive, rather than the extraction target directory. Additionally, a `..` portion of the path could occur immediately after the drive letter, such as `C:../foo`, and was not properly sanitized by the logic that checked for `..` within the normalized and split portions of the path. This only affects users of `node-tar` on Windows systems. These issues were addressed in releases 4.4.18, 5.0.10 and 6.1.9. The v3 branch of node-tar has been deprecated and did not receive patches for these issues. If you are still using a v3 release we recommend you update to a more recent version of node-tar. There is no reasonable way to work around this issue without performing the same path normalization procedures that node-tar now does. Users are encouraged to upgrade to the latest patched versions of node-tar, rather than attempt to sanitize paths themselves."
}
],
"metrics": [
{
"cvssV3_1": {
"attackComplexity": "LOW",
"attackVector": "LOCAL",
"availabilityImpact": "NONE",
"baseScore": 8.2,
"baseSeverity": "HIGH",
"confidentialityImpact": "HIGH",
"integrityImpact": "HIGH",
"privilegesRequired": "NONE",
"scope": "CHANGED",
"userInteraction": "REQUIRED",
"vectorString": "CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N",
"version": "3.1"
}
}
],
"problemTypes": [
{
"descriptions": [
{
"cweId": "CWE-22",
"description": "CWE-22: Improper Limitation of a Pathname to a Restricted Directory (\u0027Path Traversal\u0027)",
"lang": "en",
"type": "CWE"
}
]
}
],
"providerMetadata": {
"dateUpdated": "2022-03-08T14:07:15",
"orgId": "a0819718-46f1-4df5-94e2-005712e83aaa",
"shortName": "GitHub_M"
},
"references": [
{
"tags": [
"x_refsource_MISC"
],
"url": "https://www.npmjs.com/package/tar"
},
{
"tags": [
"x_refsource_CONFIRM"
],
"url": "https://github.com/npm/node-tar/security/advisories/GHSA-5955-9wpr-37jh"
},
{
"tags": [
"x_refsource_MISC"
],
"url": "https://www.oracle.com/security-alerts/cpuoct2021.html"
},
{
"tags": [
"x_refsource_CONFIRM"
],
"url": "https://cert-portal.siemens.com/productcert/pdf/ssa-389290.pdf"
}
],
"source": {
"advisory": "GHSA-5955-9wpr-37jh",
"discovery": "UNKNOWN"
},
"title": "Arbitrary File Creation/Overwrite on Windows via insufficient relative path sanitization",
"x_legacyV4Record": {
"CVE_data_meta": {
"ASSIGNER": "security-advisories@github.com",
"ID": "CVE-2021-37713",
"STATE": "PUBLIC",
"TITLE": "Arbitrary File Creation/Overwrite on Windows via insufficient relative path sanitization"
},
"affects": {
"vendor": {
"vendor_data": [
{
"product": {
"product_data": [
{
"product_name": "node-tar",
"version": {
"version_data": [
{
"version_value": "\u003c 4.4.18"
},
{
"version_value": "\u003e= 5.0.0, \u003c 5.0.10"
},
{
"version_value": "\u003e= 6.0.0, \u003c 6.1.9"
}
]
}
}
]
},
"vendor_name": "npm"
}
]
}
},
"data_format": "MITRE",
"data_type": "CVE",
"data_version": "4.0",
"description": {
"description_data": [
{
"lang": "eng",
"value": "The npm package \"tar\" (aka node-tar) before versions 4.4.18, 5.0.10, and 6.1.9 has an arbitrary file creation/overwrite and arbitrary code execution vulnerability. node-tar aims to guarantee that any file whose location would be outside of the extraction target directory is not extracted. This is, in part, accomplished by sanitizing absolute paths of entries within the archive, skipping archive entries that contain `..` path portions, and resolving the sanitized paths against the extraction target directory. This logic was insufficient on Windows systems when extracting tar files that contained a path that was not an absolute path, but specified a drive letter different from the extraction target, such as `C:some\\path`. If the drive letter does not match the extraction target, for example `D:\\extraction\\dir`, then the result of `path.resolve(extractionDirectory, entryPath)` would resolve against the current working directory on the `C:` drive, rather than the extraction target directory. Additionally, a `..` portion of the path could occur immediately after the drive letter, such as `C:../foo`, and was not properly sanitized by the logic that checked for `..` within the normalized and split portions of the path. This only affects users of `node-tar` on Windows systems. These issues were addressed in releases 4.4.18, 5.0.10 and 6.1.9. The v3 branch of node-tar has been deprecated and did not receive patches for these issues. If you are still using a v3 release we recommend you update to a more recent version of node-tar. There is no reasonable way to work around this issue without performing the same path normalization procedures that node-tar now does. Users are encouraged to upgrade to the latest patched versions of node-tar, rather than attempt to sanitize paths themselves."
}
]
},
"impact": {
"cvss": {
"attackComplexity": "LOW",
"attackVector": "LOCAL",
"availabilityImpact": "NONE",
"baseScore": 8.2,
"baseSeverity": "HIGH",
"confidentialityImpact": "HIGH",
"integrityImpact": "HIGH",
"privilegesRequired": "NONE",
"scope": "CHANGED",
"userInteraction": "REQUIRED",
"vectorString": "CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N",
"version": "3.1"
}
},
"problemtype": {
"problemtype_data": [
{
"description": [
{
"lang": "eng",
"value": "CWE-22: Improper Limitation of a Pathname to a Restricted Directory (\u0027Path Traversal\u0027)"
}
]
}
]
},
"references": {
"reference_data": [
{
"name": "https://www.npmjs.com/package/tar",
"refsource": "MISC",
"url": "https://www.npmjs.com/package/tar"
},
{
"name": "https://github.com/npm/node-tar/security/advisories/GHSA-5955-9wpr-37jh",
"refsource": "CONFIRM",
"url": "https://github.com/npm/node-tar/security/advisories/GHSA-5955-9wpr-37jh"
},
{
"name": "https://www.oracle.com/security-alerts/cpuoct2021.html",
"refsource": "MISC",
"url": "https://www.oracle.com/security-alerts/cpuoct2021.html"
},
{
"name": "https://cert-portal.siemens.com/productcert/pdf/ssa-389290.pdf",
"refsource": "CONFIRM",
"url": "https://cert-portal.siemens.com/productcert/pdf/ssa-389290.pdf"
}
]
},
"source": {
"advisory": "GHSA-5955-9wpr-37jh",
"discovery": "UNKNOWN"
}
}
}
},
"cveMetadata": {
"assignerOrgId": "a0819718-46f1-4df5-94e2-005712e83aaa",
"assignerShortName": "GitHub_M",
"cveId": "CVE-2021-37713",
"datePublished": "2021-08-31T16:50:09",
"dateReserved": "2021-07-29T00:00:00",
"dateUpdated": "2024-08-04T01:23:01.533Z",
"state": "PUBLISHED"
},
"dataType": "CVE_RECORD",
"dataVersion": "5.1",
"vulnerability-lookup:meta": {
"nvd": "{\"cve\":{\"id\":\"CVE-2021-37713\",\"sourceIdentifier\":\"security-advisories@github.com\",\"published\":\"2021-08-31T17:15:08.087\",\"lastModified\":\"2024-11-21T06:15:46.377\",\"vulnStatus\":\"Modified\",\"cveTags\":[],\"descriptions\":[{\"lang\":\"en\",\"value\":\"The npm package \\\"tar\\\" (aka node-tar) before versions 4.4.18, 5.0.10, and 6.1.9 has an arbitrary file creation/overwrite and arbitrary code execution vulnerability. node-tar aims to guarantee that any file whose location would be outside of the extraction target directory is not extracted. This is, in part, accomplished by sanitizing absolute paths of entries within the archive, skipping archive entries that contain `..` path portions, and resolving the sanitized paths against the extraction target directory. This logic was insufficient on Windows systems when extracting tar files that contained a path that was not an absolute path, but specified a drive letter different from the extraction target, such as `C:some\\\\path`. If the drive letter does not match the extraction target, for example `D:\\\\extraction\\\\dir`, then the result of `path.resolve(extractionDirectory, entryPath)` would resolve against the current working directory on the `C:` drive, rather than the extraction target directory. Additionally, a `..` portion of the path could occur immediately after the drive letter, such as `C:../foo`, and was not properly sanitized by the logic that checked for `..` within the normalized and split portions of the path. This only affects users of `node-tar` on Windows systems. These issues were addressed in releases 4.4.18, 5.0.10 and 6.1.9. The v3 branch of node-tar has been deprecated and did not receive patches for these issues. If you are still using a v3 release we recommend you update to a more recent version of node-tar. There is no reasonable way to work around this issue without performing the same path normalization procedures that node-tar now does. Users are encouraged to upgrade to the latest patched versions of node-tar, rather than attempt to sanitize paths themselves.\"},{\"lang\":\"es\",\"value\":\"El paquete npm \\\"tar\\\" (tambi\u00e9n se conoce como node-tar) versiones anteriores a 4.4.18, 5.0.10 y 6.1.9, presenta una vulnerabilidad de creaci\u00f3n y escritura excesiva de archivos arbitrarios y de ejecuci\u00f3n de c\u00f3digo arbitrario. node-tar pretende garantizar que no se extraiga ning\u00fan archivo cuya ubicaci\u00f3n est\u00e9 fuera del directorio de destino de la extracci\u00f3n. Esto es conseguido, en parte, al sanear las rutas absolutas de las entradas dentro del archivo, omitiendo las entradas del archivo que contienen porciones de ruta \\\"..\\\" y resolviendo las rutas saneadas contra el directorio de destino de la extracci\u00f3n. Esta l\u00f3gica era insuficiente en los sistemas Windows cuando se extra\u00edan archivos tar que conten\u00edan una ruta que no era una ruta absoluta, sino que especificaba una letra de unidad diferente del destino de extracci\u00f3n, como \\\"C:some\\\\path\\\". Si la letra de la unidad no coincide con el destino de la extracci\u00f3n, por ejemplo, \\\"D:\\\\extraction\\\\dir\\\", entonces el resultado de \\\"path.resolve(extractionDirectory, entryPath)\\\" se resolver\u00eda contra el directorio de trabajo actual en la unidad \\\"C:\\\", en lugar del directorio de destino de la extracci\u00f3n. Adem\u00e1s, una porci\u00f3n \\\"..\\\" de la ruta pod\u00eda aparecer inmediatamente despu\u00e9s de la letra de la unidad, como \\\"C:../foo\\\", y no era saneada apropiadamente por la l\u00f3gica que buscaba \\\"..\\\" dentro de las porciones normalizadas y divididas de la ruta. Esto s\u00f3lo afecta a los usuarios de \\\"node-tar\\\" en sistemas Windows. Estos problemas se han solucionado en las versiones 4.4.18, 5.0.10 y 6.1.9. La rama v3 de node-tar ha quedado obsoleta y no ha recibido parches para estos problemas. Si todav\u00eda est\u00e1 usando una versi\u00f3n v3 le recomendamos que actualice a una versi\u00f3n m\u00e1s reciente de node-tar. No hay una forma razonable de solucionar este problema sin llevar a cabo los mismos procedimientos de normalizaci\u00f3n de rutas que hace ahora node-tar. Se recomienda a los usuarios que actualicen a las \u00faltimas versiones parcheadas de node-tar, en lugar de intentar sanear las rutas por s\u00ed mismos\"}],\"metrics\":{\"cvssMetricV31\":[{\"source\":\"security-advisories@github.com\",\"type\":\"Secondary\",\"cvssData\":{\"version\":\"3.1\",\"vectorString\":\"CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N\",\"baseScore\":8.2,\"baseSeverity\":\"HIGH\",\"attackVector\":\"LOCAL\",\"attackComplexity\":\"LOW\",\"privilegesRequired\":\"NONE\",\"userInteraction\":\"REQUIRED\",\"scope\":\"CHANGED\",\"confidentialityImpact\":\"HIGH\",\"integrityImpact\":\"HIGH\",\"availabilityImpact\":\"NONE\"},\"exploitabilityScore\":1.8,\"impactScore\":5.8},{\"source\":\"nvd@nist.gov\",\"type\":\"Primary\",\"cvssData\":{\"version\":\"3.1\",\"vectorString\":\"CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H\",\"baseScore\":8.6,\"baseSeverity\":\"HIGH\",\"attackVector\":\"LOCAL\",\"attackComplexity\":\"LOW\",\"privilegesRequired\":\"NONE\",\"userInteraction\":\"REQUIRED\",\"scope\":\"CHANGED\",\"confidentialityImpact\":\"HIGH\",\"integrityImpact\":\"HIGH\",\"availabilityImpact\":\"HIGH\"},\"exploitabilityScore\":1.8,\"impactScore\":6.0}],\"cvssMetricV2\":[{\"source\":\"nvd@nist.gov\",\"type\":\"Primary\",\"cvssData\":{\"version\":\"2.0\",\"vectorString\":\"AV:L/AC:M/Au:N/C:P/I:P/A:P\",\"baseScore\":4.4,\"accessVector\":\"LOCAL\",\"accessComplexity\":\"MEDIUM\",\"authentication\":\"NONE\",\"confidentialityImpact\":\"PARTIAL\",\"integrityImpact\":\"PARTIAL\",\"availabilityImpact\":\"PARTIAL\"},\"baseSeverity\":\"MEDIUM\",\"exploitabilityScore\":3.4,\"impactScore\":6.4,\"acInsufInfo\":false,\"obtainAllPrivilege\":false,\"obtainUserPrivilege\":false,\"obtainOtherPrivilege\":false,\"userInteractionRequired\":true}]},\"weaknesses\":[{\"source\":\"security-advisories@github.com\",\"type\":\"Secondary\",\"description\":[{\"lang\":\"en\",\"value\":\"CWE-22\"}]},{\"source\":\"nvd@nist.gov\",\"type\":\"Primary\",\"description\":[{\"lang\":\"en\",\"value\":\"CWE-22\"}]}],\"configurations\":[{\"operator\":\"AND\",\"nodes\":[{\"operator\":\"OR\",\"negate\":false,\"cpeMatch\":[{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:npmjs:tar:*:*:*:*:*:node.js:*:*\",\"versionEndExcluding\":\"4.4.18\",\"matchCriteriaId\":\"06B7B0B0-0912-4363-8770-4BA73C29B0DC\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:npmjs:tar:*:*:*:*:*:node.js:*:*\",\"versionStartIncluding\":\"5.0.0\",\"versionEndExcluding\":\"5.0.10\",\"matchCriteriaId\":\"64DA77D1-13E3-4A95-89EC-E821871426B6\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:npmjs:tar:*:*:*:*:*:node.js:*:*\",\"versionStartIncluding\":\"6.0.0\",\"versionEndExcluding\":\"6.1.9\",\"matchCriteriaId\":\"304D91FC-CEAD-4E45-AD45-E6D08A9BABDB\"}]},{\"operator\":\"OR\",\"negate\":false,\"cpeMatch\":[{\"vulnerable\":false,\"criteria\":\"cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*\",\"matchCriteriaId\":\"A2572D17-1DE6-457B-99CC-64AFD54487EA\"}]}]},{\"nodes\":[{\"operator\":\"OR\",\"negate\":false,\"cpeMatch\":[{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:oracle:graalvm:20.3.3:*:*:*:enterprise:*:*:*\",\"matchCriteriaId\":\"53B2BB06-A2F7-4603-89C3-C8500E55483A\"},{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:oracle:graalvm:21.2.0:*:*:*:enterprise:*:*:*\",\"matchCriteriaId\":\"01E88C86-8C04-4A4A-BF45-9082AA783056\"}]}]},{\"nodes\":[{\"operator\":\"OR\",\"negate\":false,\"cpeMatch\":[{\"vulnerable\":true,\"criteria\":\"cpe:2.3:a:siemens:sinec_infrastructure_network_services:*:*:*:*:*:*:*:*\",\"versionEndExcluding\":\"1.0.1.1\",\"matchCriteriaId\":\"B0F46497-4AB0-49A7-9453-CC26837BF253\"}]}]}],\"references\":[{\"url\":\"https://cert-portal.siemens.com/productcert/pdf/ssa-389290.pdf\",\"source\":\"security-advisories@github.com\",\"tags\":[\"Patch\",\"Third Party Advisory\"]},{\"url\":\"https://github.com/npm/node-tar/security/advisories/GHSA-5955-9wpr-37jh\",\"source\":\"security-advisories@github.com\",\"tags\":[\"Patch\",\"Third Party Advisory\"]},{\"url\":\"https://www.npmjs.com/package/tar\",\"source\":\"security-advisories@github.com\",\"tags\":[\"Product\",\"Third Party Advisory\"]},{\"url\":\"https://www.oracle.com/security-alerts/cpuoct2021.html\",\"source\":\"security-advisories@github.com\",\"tags\":[\"Patch\",\"Third Party Advisory\"]},{\"url\":\"https://cert-portal.siemens.com/productcert/pdf/ssa-389290.pdf\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Patch\",\"Third Party Advisory\"]},{\"url\":\"https://github.com/npm/node-tar/security/advisories/GHSA-5955-9wpr-37jh\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Patch\",\"Third Party Advisory\"]},{\"url\":\"https://www.npmjs.com/package/tar\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Product\",\"Third Party Advisory\"]},{\"url\":\"https://www.oracle.com/security-alerts/cpuoct2021.html\",\"source\":\"af854a3a-2127-422b-91ae-364da2661108\",\"tags\":[\"Patch\",\"Third Party Advisory\"]}]}}"
}
}
suse-su-2021:3964-1
Vulnerability from csaf_suse
Published
2021-12-07 07:57
Modified
2021-12-07 07:57
Summary
Security update for nodejs14
Notes
Title of the patch
Security update for nodejs14
Description of the patch
This update for nodejs14 fixes the following issues:
nodejs14 was updated to 14.18.1:
* deps: update llhttp to 2.1.4
- HTTP Request Smuggling due to spaced in headers (bsc#1191601, CVE-2021-22959)
- HTTP Request Smuggling when parsing the body (bsc#1191602, CVE-2021-22960)
Changes in 14.18.0:
* buffer:
+ introduce Blob
+ add base64url encoding option
* child_process:
+ allow options.cwd receive a URL
+ add timeout to spawn and fork
+ allow promisified exec to be cancel
+ add 'overlapped' stdio flag
* dns: add 'tries' option to Resolve options
* fs:
+ allow empty string for temp directory prefix
+ allow no-params fsPromises fileHandle read
+ add support for async iterators to fsPromises.writeFile
* http2: add support for sensitive headers
* process: add 'worker' event
* tls: allow reading data into a static buffer
* worker: add setEnvironmentData/getEnvironmentData
Changes in 14.17.6
* deps: upgrade npm to 6.14.15 which fixes a number of
security issues
(bsc#1190057, CVE-2021-37701, bsc#1190056, CVE-2021-37712,
bsc#1190055, CVE-2021-37713, bsc#1190054, CVE-2021-39134,
bsc#1190053, CVE-2021-39135)
Patchnames
SUSE-2021-3964,SUSE-SLE-Module-Web-Scripting-15-SP2-2021-3964,SUSE-SLE-Module-Web-Scripting-15-SP3-2021-3964
Terms of use
CSAF 2.0 data is provided by SUSE under the Creative Commons License 4.0 with Attribution (CC-BY-4.0).
{
"document": {
"aggregate_severity": {
"namespace": "https://www.suse.com/support/security/rating/",
"text": "important"
},
"category": "csaf_security_advisory",
"csaf_version": "2.0",
"distribution": {
"text": "Copyright 2024 SUSE LLC. All rights reserved.",
"tlp": {
"label": "WHITE",
"url": "https://www.first.org/tlp/"
}
},
"lang": "en",
"notes": [
{
"category": "summary",
"text": "Security update for nodejs14",
"title": "Title of the patch"
},
{
"category": "description",
"text": "This update for nodejs14 fixes the following issues:\n\nnodejs14 was updated to 14.18.1:\n\n* deps: update llhttp to 2.1.4\n\n - HTTP Request Smuggling due to spaced in headers (bsc#1191601, CVE-2021-22959)\n - HTTP Request Smuggling when parsing the body (bsc#1191602, CVE-2021-22960)\n\nChanges in 14.18.0:\n\n * buffer:\n\n + introduce Blob\n + add base64url encoding option\n\n * child_process:\n\n + allow options.cwd receive a URL\n + add timeout to spawn and fork\n + allow promisified exec to be cancel\n + add \u0027overlapped\u0027 stdio flag\n\n * dns: add \u0027tries\u0027 option to Resolve options\n * fs:\n\n + allow empty string for temp directory prefix\n + allow no-params fsPromises fileHandle read\n + add support for async iterators to fsPromises.writeFile\n\n * http2: add support for sensitive headers\n * process: add \u0027worker\u0027 event\n * tls: allow reading data into a static buffer\n * worker: add setEnvironmentData/getEnvironmentData\n\nChanges in 14.17.6\n\n * deps: upgrade npm to 6.14.15 which fixes a number of\n security issues\n (bsc#1190057, CVE-2021-37701, bsc#1190056, CVE-2021-37712,\n bsc#1190055, CVE-2021-37713, bsc#1190054, CVE-2021-39134,\n bsc#1190053, CVE-2021-39135)\n",
"title": "Description of the patch"
},
{
"category": "details",
"text": "SUSE-2021-3964,SUSE-SLE-Module-Web-Scripting-15-SP2-2021-3964,SUSE-SLE-Module-Web-Scripting-15-SP3-2021-3964",
"title": "Patchnames"
},
{
"category": "legal_disclaimer",
"text": "CSAF 2.0 data is provided by SUSE under the Creative Commons License 4.0 with Attribution (CC-BY-4.0).",
"title": "Terms of use"
}
],
"publisher": {
"category": "vendor",
"contact_details": "https://www.suse.com/support/security/contact/",
"name": "SUSE Product Security Team",
"namespace": "https://www.suse.com/"
},
"references": [
{
"category": "external",
"summary": "SUSE ratings",
"url": "https://www.suse.com/support/security/rating/"
},
{
"category": "self",
"summary": "URL of this CSAF notice",
"url": "https://ftp.suse.com/pub/projects/security/csaf/suse-su-2021_3964-1.json"
},
{
"category": "self",
"summary": "URL for SUSE-SU-2021:3964-1",
"url": "https://www.suse.com/support/update/announcement/2021/suse-su-20213964-1/"
},
{
"category": "self",
"summary": "E-Mail link for SUSE-SU-2021:3964-1",
"url": "https://lists.suse.com/pipermail/sle-security-updates/2021-December/009869.html"
},
{
"category": "self",
"summary": "SUSE Bug 1190053",
"url": "https://bugzilla.suse.com/1190053"
},
{
"category": "self",
"summary": "SUSE Bug 1190054",
"url": "https://bugzilla.suse.com/1190054"
},
{
"category": "self",
"summary": "SUSE Bug 1190055",
"url": "https://bugzilla.suse.com/1190055"
},
{
"category": "self",
"summary": "SUSE Bug 1190056",
"url": "https://bugzilla.suse.com/1190056"
},
{
"category": "self",
"summary": "SUSE Bug 1190057",
"url": "https://bugzilla.suse.com/1190057"
},
{
"category": "self",
"summary": "SUSE Bug 1191601",
"url": "https://bugzilla.suse.com/1191601"
},
{
"category": "self",
"summary": "SUSE Bug 1191602",
"url": "https://bugzilla.suse.com/1191602"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-22959 page",
"url": "https://www.suse.com/security/cve/CVE-2021-22959/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-22960 page",
"url": "https://www.suse.com/security/cve/CVE-2021-22960/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-37701 page",
"url": "https://www.suse.com/security/cve/CVE-2021-37701/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-37712 page",
"url": "https://www.suse.com/security/cve/CVE-2021-37712/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-37713 page",
"url": "https://www.suse.com/security/cve/CVE-2021-37713/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-39134 page",
"url": "https://www.suse.com/security/cve/CVE-2021-39134/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-39135 page",
"url": "https://www.suse.com/security/cve/CVE-2021-39135/"
}
],
"title": "Security update for nodejs14",
"tracking": {
"current_release_date": "2021-12-07T07:57:42Z",
"generator": {
"date": "2021-12-07T07:57:42Z",
"engine": {
"name": "cve-database.git:bin/generate-csaf.pl",
"version": "1"
}
},
"id": "SUSE-SU-2021:3964-1",
"initial_release_date": "2021-12-07T07:57:42Z",
"revision_history": [
{
"date": "2021-12-07T07:57:42Z",
"number": "1",
"summary": "Current version"
}
],
"status": "final",
"version": "1"
}
},
"product_tree": {
"branches": [
{
"branches": [
{
"branches": [
{
"category": "product_version",
"name": "nodejs14-14.18.1-15.21.2.aarch64",
"product": {
"name": "nodejs14-14.18.1-15.21.2.aarch64",
"product_id": "nodejs14-14.18.1-15.21.2.aarch64"
}
},
{
"category": "product_version",
"name": "nodejs14-devel-14.18.1-15.21.2.aarch64",
"product": {
"name": "nodejs14-devel-14.18.1-15.21.2.aarch64",
"product_id": "nodejs14-devel-14.18.1-15.21.2.aarch64"
}
},
{
"category": "product_version",
"name": "npm14-14.18.1-15.21.2.aarch64",
"product": {
"name": "npm14-14.18.1-15.21.2.aarch64",
"product_id": "npm14-14.18.1-15.21.2.aarch64"
}
}
],
"category": "architecture",
"name": "aarch64"
},
{
"branches": [
{
"category": "product_version",
"name": "nodejs14-14.18.1-15.21.2.i586",
"product": {
"name": "nodejs14-14.18.1-15.21.2.i586",
"product_id": "nodejs14-14.18.1-15.21.2.i586"
}
},
{
"category": "product_version",
"name": "nodejs14-devel-14.18.1-15.21.2.i586",
"product": {
"name": "nodejs14-devel-14.18.1-15.21.2.i586",
"product_id": "nodejs14-devel-14.18.1-15.21.2.i586"
}
},
{
"category": "product_version",
"name": "npm14-14.18.1-15.21.2.i586",
"product": {
"name": "npm14-14.18.1-15.21.2.i586",
"product_id": "npm14-14.18.1-15.21.2.i586"
}
}
],
"category": "architecture",
"name": "i586"
},
{
"branches": [
{
"category": "product_version",
"name": "nodejs14-docs-14.18.1-15.21.2.noarch",
"product": {
"name": "nodejs14-docs-14.18.1-15.21.2.noarch",
"product_id": "nodejs14-docs-14.18.1-15.21.2.noarch"
}
}
],
"category": "architecture",
"name": "noarch"
},
{
"branches": [
{
"category": "product_version",
"name": "nodejs14-14.18.1-15.21.2.ppc64le",
"product": {
"name": "nodejs14-14.18.1-15.21.2.ppc64le",
"product_id": "nodejs14-14.18.1-15.21.2.ppc64le"
}
},
{
"category": "product_version",
"name": "nodejs14-devel-14.18.1-15.21.2.ppc64le",
"product": {
"name": "nodejs14-devel-14.18.1-15.21.2.ppc64le",
"product_id": "nodejs14-devel-14.18.1-15.21.2.ppc64le"
}
},
{
"category": "product_version",
"name": "npm14-14.18.1-15.21.2.ppc64le",
"product": {
"name": "npm14-14.18.1-15.21.2.ppc64le",
"product_id": "npm14-14.18.1-15.21.2.ppc64le"
}
}
],
"category": "architecture",
"name": "ppc64le"
},
{
"branches": [
{
"category": "product_version",
"name": "nodejs14-14.18.1-15.21.2.s390x",
"product": {
"name": "nodejs14-14.18.1-15.21.2.s390x",
"product_id": "nodejs14-14.18.1-15.21.2.s390x"
}
},
{
"category": "product_version",
"name": "nodejs14-devel-14.18.1-15.21.2.s390x",
"product": {
"name": "nodejs14-devel-14.18.1-15.21.2.s390x",
"product_id": "nodejs14-devel-14.18.1-15.21.2.s390x"
}
},
{
"category": "product_version",
"name": "npm14-14.18.1-15.21.2.s390x",
"product": {
"name": "npm14-14.18.1-15.21.2.s390x",
"product_id": "npm14-14.18.1-15.21.2.s390x"
}
}
],
"category": "architecture",
"name": "s390x"
},
{
"branches": [
{
"category": "product_version",
"name": "nodejs14-14.18.1-15.21.2.x86_64",
"product": {
"name": "nodejs14-14.18.1-15.21.2.x86_64",
"product_id": "nodejs14-14.18.1-15.21.2.x86_64"
}
},
{
"category": "product_version",
"name": "nodejs14-devel-14.18.1-15.21.2.x86_64",
"product": {
"name": "nodejs14-devel-14.18.1-15.21.2.x86_64",
"product_id": "nodejs14-devel-14.18.1-15.21.2.x86_64"
}
},
{
"category": "product_version",
"name": "npm14-14.18.1-15.21.2.x86_64",
"product": {
"name": "npm14-14.18.1-15.21.2.x86_64",
"product_id": "npm14-14.18.1-15.21.2.x86_64"
}
}
],
"category": "architecture",
"name": "x86_64"
},
{
"branches": [
{
"category": "product_name",
"name": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2",
"product": {
"name": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2",
"product_identification_helper": {
"cpe": "cpe:/o:suse:sle-module-web-scripting:15:sp2"
}
}
},
{
"category": "product_name",
"name": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3",
"product": {
"name": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3",
"product_identification_helper": {
"cpe": "cpe:/o:suse:sle-module-web-scripting:15:sp3"
}
}
}
],
"category": "product_family",
"name": "SUSE Linux Enterprise"
}
],
"category": "vendor",
"name": "SUSE"
}
],
"relationships": [
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs14-14.18.1-15.21.2.aarch64 as component of SUSE Linux Enterprise Module for Web and Scripting 15 SP2",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.aarch64"
},
"product_reference": "nodejs14-14.18.1-15.21.2.aarch64",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs14-14.18.1-15.21.2.ppc64le as component of SUSE Linux Enterprise Module for Web and Scripting 15 SP2",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.ppc64le"
},
"product_reference": "nodejs14-14.18.1-15.21.2.ppc64le",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs14-14.18.1-15.21.2.s390x as component of SUSE Linux Enterprise Module for Web and Scripting 15 SP2",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.s390x"
},
"product_reference": "nodejs14-14.18.1-15.21.2.s390x",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs14-14.18.1-15.21.2.x86_64 as component of SUSE Linux Enterprise Module for Web and Scripting 15 SP2",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.x86_64"
},
"product_reference": "nodejs14-14.18.1-15.21.2.x86_64",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs14-devel-14.18.1-15.21.2.aarch64 as component of SUSE Linux Enterprise Module for Web and Scripting 15 SP2",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.aarch64"
},
"product_reference": "nodejs14-devel-14.18.1-15.21.2.aarch64",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs14-devel-14.18.1-15.21.2.ppc64le as component of SUSE Linux Enterprise Module for Web and Scripting 15 SP2",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.ppc64le"
},
"product_reference": "nodejs14-devel-14.18.1-15.21.2.ppc64le",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs14-devel-14.18.1-15.21.2.s390x as component of SUSE Linux Enterprise Module for Web and Scripting 15 SP2",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.s390x"
},
"product_reference": "nodejs14-devel-14.18.1-15.21.2.s390x",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs14-devel-14.18.1-15.21.2.x86_64 as component of SUSE Linux Enterprise Module for Web and Scripting 15 SP2",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.x86_64"
},
"product_reference": "nodejs14-devel-14.18.1-15.21.2.x86_64",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs14-docs-14.18.1-15.21.2.noarch as component of SUSE Linux Enterprise Module for Web and Scripting 15 SP2",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-docs-14.18.1-15.21.2.noarch"
},
"product_reference": "nodejs14-docs-14.18.1-15.21.2.noarch",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "npm14-14.18.1-15.21.2.aarch64 as component of SUSE Linux Enterprise Module for Web and Scripting 15 SP2",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.aarch64"
},
"product_reference": "npm14-14.18.1-15.21.2.aarch64",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "npm14-14.18.1-15.21.2.ppc64le as component of SUSE Linux Enterprise Module for Web and Scripting 15 SP2",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.ppc64le"
},
"product_reference": "npm14-14.18.1-15.21.2.ppc64le",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "npm14-14.18.1-15.21.2.s390x as component of SUSE Linux Enterprise Module for Web and Scripting 15 SP2",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.s390x"
},
"product_reference": "npm14-14.18.1-15.21.2.s390x",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "npm14-14.18.1-15.21.2.x86_64 as component of SUSE Linux Enterprise Module for Web and Scripting 15 SP2",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.x86_64"
},
"product_reference": "npm14-14.18.1-15.21.2.x86_64",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs14-14.18.1-15.21.2.aarch64 as component of SUSE Linux Enterprise Module for Web and Scripting 15 SP3",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.aarch64"
},
"product_reference": "nodejs14-14.18.1-15.21.2.aarch64",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs14-14.18.1-15.21.2.ppc64le as component of SUSE Linux Enterprise Module for Web and Scripting 15 SP3",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.ppc64le"
},
"product_reference": "nodejs14-14.18.1-15.21.2.ppc64le",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs14-14.18.1-15.21.2.s390x as component of SUSE Linux Enterprise Module for Web and Scripting 15 SP3",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.s390x"
},
"product_reference": "nodejs14-14.18.1-15.21.2.s390x",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs14-14.18.1-15.21.2.x86_64 as component of SUSE Linux Enterprise Module for Web and Scripting 15 SP3",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.x86_64"
},
"product_reference": "nodejs14-14.18.1-15.21.2.x86_64",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs14-devel-14.18.1-15.21.2.aarch64 as component of SUSE Linux Enterprise Module for Web and Scripting 15 SP3",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.aarch64"
},
"product_reference": "nodejs14-devel-14.18.1-15.21.2.aarch64",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs14-devel-14.18.1-15.21.2.ppc64le as component of SUSE Linux Enterprise Module for Web and Scripting 15 SP3",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.ppc64le"
},
"product_reference": "nodejs14-devel-14.18.1-15.21.2.ppc64le",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs14-devel-14.18.1-15.21.2.s390x as component of SUSE Linux Enterprise Module for Web and Scripting 15 SP3",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.s390x"
},
"product_reference": "nodejs14-devel-14.18.1-15.21.2.s390x",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs14-devel-14.18.1-15.21.2.x86_64 as component of SUSE Linux Enterprise Module for Web and Scripting 15 SP3",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.x86_64"
},
"product_reference": "nodejs14-devel-14.18.1-15.21.2.x86_64",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs14-docs-14.18.1-15.21.2.noarch as component of SUSE Linux Enterprise Module for Web and Scripting 15 SP3",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-docs-14.18.1-15.21.2.noarch"
},
"product_reference": "nodejs14-docs-14.18.1-15.21.2.noarch",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "npm14-14.18.1-15.21.2.aarch64 as component of SUSE Linux Enterprise Module for Web and Scripting 15 SP3",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.aarch64"
},
"product_reference": "npm14-14.18.1-15.21.2.aarch64",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "npm14-14.18.1-15.21.2.ppc64le as component of SUSE Linux Enterprise Module for Web and Scripting 15 SP3",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.ppc64le"
},
"product_reference": "npm14-14.18.1-15.21.2.ppc64le",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "npm14-14.18.1-15.21.2.s390x as component of SUSE Linux Enterprise Module for Web and Scripting 15 SP3",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.s390x"
},
"product_reference": "npm14-14.18.1-15.21.2.s390x",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "npm14-14.18.1-15.21.2.x86_64 as component of SUSE Linux Enterprise Module for Web and Scripting 15 SP3",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.x86_64"
},
"product_reference": "npm14-14.18.1-15.21.2.x86_64",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3"
}
]
},
"vulnerabilities": [
{
"cve": "CVE-2021-22959",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-22959"
}
],
"notes": [
{
"category": "general",
"text": "The parser in accepts requests with a space (SP) right after the header name before the colon. This can lead to HTTP Request Smuggling (HRS) in llhttp \u003c v2.1.4 and \u003c v6.0.6.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-docs-14.18.1-15.21.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-docs-14.18.1-15.21.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-22959",
"url": "https://www.suse.com/security/cve/CVE-2021-22959"
},
{
"category": "external",
"summary": "SUSE Bug 1191601 for CVE-2021-22959",
"url": "https://bugzilla.suse.com/1191601"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-docs-14.18.1-15.21.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-docs-14.18.1-15.21.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 6.1,
"baseSeverity": "MEDIUM",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N",
"version": "3.1"
},
"products": [
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-docs-14.18.1-15.21.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-docs-14.18.1-15.21.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2021-12-07T07:57:42Z",
"details": "moderate"
}
],
"title": "CVE-2021-22959"
},
{
"cve": "CVE-2021-22960",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-22960"
}
],
"notes": [
{
"category": "general",
"text": "The parse function in llhttp \u003c 2.1.4 and \u003c 6.0.6. ignores chunk extensions when parsing the body of chunked requests. This leads to HTTP Request Smuggling (HRS) under certain conditions.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-docs-14.18.1-15.21.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-docs-14.18.1-15.21.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-22960",
"url": "https://www.suse.com/security/cve/CVE-2021-22960"
},
{
"category": "external",
"summary": "SUSE Bug 1191602 for CVE-2021-22960",
"url": "https://bugzilla.suse.com/1191602"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-docs-14.18.1-15.21.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-docs-14.18.1-15.21.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 6.1,
"baseSeverity": "MEDIUM",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N",
"version": "3.1"
},
"products": [
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-docs-14.18.1-15.21.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-docs-14.18.1-15.21.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2021-12-07T07:57:42Z",
"details": "moderate"
}
],
"title": "CVE-2021-22960"
},
{
"cve": "CVE-2021-37701",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-37701"
}
],
"notes": [
{
"category": "general",
"text": "The npm package \"tar\" (aka node-tar) before versions 4.4.16, 5.0.8, and 6.1.7 has an arbitrary file creation/overwrite and arbitrary code execution vulnerability. node-tar aims to guarantee that any file whose location would be modified by a symbolic link is not extracted. This is, in part, achieved by ensuring that extracted directories are not symlinks. Additionally, in order to prevent unnecessary stat calls to determine whether a given path is a directory, paths are cached when directories are created. This logic was insufficient when extracting tar files that contained both a directory and a symlink with the same name as the directory, where the symlink and directory names in the archive entry used backslashes as a path separator on posix systems. The cache checking logic used both `\\` and `/` characters as path separators, however `\\` is a valid filename character on posix systems. By first creating a directory, and then replacing that directory with a symlink, it was thus possible to bypass node-tar symlink checks on directories, essentially allowing an untrusted tar file to symlink into an arbitrary location and subsequently extracting arbitrary files into that location, thus allowing arbitrary file creation and overwrite. Additionally, a similar confusion could arise on case-insensitive filesystems. If a tar archive contained a directory at `FOO`, followed by a symbolic link named `foo`, then on case-insensitive file systems, the creation of the symbolic link would remove the directory from the filesystem, but _not_ from the internal directory cache, as it would not be treated as a cache hit. A subsequent file entry within the `FOO` directory would then be placed in the target of the symbolic link, thinking that the directory had already been created. These issues were addressed in releases 4.4.16, 5.0.8 and 6.1.7. The v3 branch of node-tar has been deprecated and did not receive patches for these issues. If you are still using a v3 release we recommend you update to a more recent version of node-tar. If this is not possible, a workaround is available in the referenced GHSA-9r2w-394v-53qc.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-docs-14.18.1-15.21.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-docs-14.18.1-15.21.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-37701",
"url": "https://www.suse.com/security/cve/CVE-2021-37701"
},
{
"category": "external",
"summary": "SUSE Bug 1190057 for CVE-2021-37701",
"url": "https://bugzilla.suse.com/1190057"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-docs-14.18.1-15.21.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-docs-14.18.1-15.21.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 8.1,
"baseSeverity": "HIGH",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H",
"version": "3.1"
},
"products": [
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-docs-14.18.1-15.21.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-docs-14.18.1-15.21.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2021-12-07T07:57:42Z",
"details": "important"
}
],
"title": "CVE-2021-37701"
},
{
"cve": "CVE-2021-37712",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-37712"
}
],
"notes": [
{
"category": "general",
"text": "The npm package \"tar\" (aka node-tar) before versions 4.4.18, 5.0.10, and 6.1.9 has an arbitrary file creation/overwrite and arbitrary code execution vulnerability. node-tar aims to guarantee that any file whose location would be modified by a symbolic link is not extracted. This is, in part, achieved by ensuring that extracted directories are not symlinks. Additionally, in order to prevent unnecessary stat calls to determine whether a given path is a directory, paths are cached when directories are created. This logic was insufficient when extracting tar files that contained both a directory and a symlink with names containing unicode values that normalized to the same value. Additionally, on Windows systems, long path portions would resolve to the same file system entities as their 8.3 \"short path\" counterparts. A specially crafted tar archive could thus include a directory with one form of the path, followed by a symbolic link with a different string that resolves to the same file system entity, followed by a file using the first form. By first creating a directory, and then replacing that directory with a symlink that had a different apparent name that resolved to the same entry in the filesystem, it was thus possible to bypass node-tar symlink checks on directories, essentially allowing an untrusted tar file to symlink into an arbitrary location and subsequently extracting arbitrary files into that location, thus allowing arbitrary file creation and overwrite. These issues were addressed in releases 4.4.18, 5.0.10 and 6.1.9. The v3 branch of node-tar has been deprecated and did not receive patches for these issues. If you are still using a v3 release we recommend you update to a more recent version of node-tar. If this is not possible, a workaround is available in the referenced GHSA-qq89-hq3f-393p.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-docs-14.18.1-15.21.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-docs-14.18.1-15.21.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-37712",
"url": "https://www.suse.com/security/cve/CVE-2021-37712"
},
{
"category": "external",
"summary": "SUSE Bug 1190056 for CVE-2021-37712",
"url": "https://bugzilla.suse.com/1190056"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-docs-14.18.1-15.21.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-docs-14.18.1-15.21.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 8.1,
"baseSeverity": "HIGH",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H",
"version": "3.1"
},
"products": [
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-docs-14.18.1-15.21.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-docs-14.18.1-15.21.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2021-12-07T07:57:42Z",
"details": "important"
}
],
"title": "CVE-2021-37712"
},
{
"cve": "CVE-2021-37713",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-37713"
}
],
"notes": [
{
"category": "general",
"text": "The npm package \"tar\" (aka node-tar) before versions 4.4.18, 5.0.10, and 6.1.9 has an arbitrary file creation/overwrite and arbitrary code execution vulnerability. node-tar aims to guarantee that any file whose location would be outside of the extraction target directory is not extracted. This is, in part, accomplished by sanitizing absolute paths of entries within the archive, skipping archive entries that contain `..` path portions, and resolving the sanitized paths against the extraction target directory. This logic was insufficient on Windows systems when extracting tar files that contained a path that was not an absolute path, but specified a drive letter different from the extraction target, such as `C:some\\path`. If the drive letter does not match the extraction target, for example `D:\\extraction\\dir`, then the result of `path.resolve(extractionDirectory, entryPath)` would resolve against the current working directory on the `C:` drive, rather than the extraction target directory. Additionally, a `..` portion of the path could occur immediately after the drive letter, such as `C:../foo`, and was not properly sanitized by the logic that checked for `..` within the normalized and split portions of the path. This only affects users of `node-tar` on Windows systems. These issues were addressed in releases 4.4.18, 5.0.10 and 6.1.9. The v3 branch of node-tar has been deprecated and did not receive patches for these issues. If you are still using a v3 release we recommend you update to a more recent version of node-tar. There is no reasonable way to work around this issue without performing the same path normalization procedures that node-tar now does. Users are encouraged to upgrade to the latest patched versions of node-tar, rather than attempt to sanitize paths themselves.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-docs-14.18.1-15.21.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-docs-14.18.1-15.21.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-37713",
"url": "https://www.suse.com/security/cve/CVE-2021-37713"
},
{
"category": "external",
"summary": "SUSE Bug 1190055 for CVE-2021-37713",
"url": "https://bugzilla.suse.com/1190055"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-docs-14.18.1-15.21.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-docs-14.18.1-15.21.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 8.2,
"baseSeverity": "HIGH",
"vectorString": "CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N",
"version": "3.1"
},
"products": [
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-docs-14.18.1-15.21.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-docs-14.18.1-15.21.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2021-12-07T07:57:42Z",
"details": "important"
}
],
"title": "CVE-2021-37713"
},
{
"cve": "CVE-2021-39134",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-39134"
}
],
"notes": [
{
"category": "general",
"text": "`@npmcli/arborist`, the library that calculates dependency trees and manages the `node_modules` folder hierarchy for the npm command line interface, aims to guarantee that package dependency contracts will be met, and the extraction of package contents will always be performed into the expected folder. This is, in part, accomplished by resolving dependency specifiers defined in `package.json` manifests for dependencies with a specific name, and nesting folders to resolve conflicting dependencies. When multiple dependencies differ only in the case of their name, Arborist\u0027s internal data structure saw them as separate items that could coexist within the same level in the `node_modules` hierarchy. However, on case-insensitive file systems (such as macOS and Windows), this is not the case. Combined with a symlink dependency such as `file:/some/path`, this allowed an attacker to create a situation in which arbitrary contents could be written to any location on the filesystem. For example, a package `pwn-a` could define a dependency in their `package.json` file such as `\"foo\": \"file:/some/path\"`. Another package, `pwn-b` could define a dependency such as `FOO: \"file:foo.tgz\"`. On case-insensitive file systems, if `pwn-a` was installed, and then `pwn-b` was installed afterwards, the contents of `foo.tgz` would be written to `/some/path`, and any existing contents of `/some/path` would be removed. Anyone using npm v7.20.6 or earlier on a case-insensitive filesystem is potentially affected. This is patched in @npmcli/arborist 2.8.2 which is included in npm v7.20.7 and above.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-docs-14.18.1-15.21.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-docs-14.18.1-15.21.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-39134",
"url": "https://www.suse.com/security/cve/CVE-2021-39134"
},
{
"category": "external",
"summary": "SUSE Bug 1190054 for CVE-2021-39134",
"url": "https://bugzilla.suse.com/1190054"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-docs-14.18.1-15.21.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-docs-14.18.1-15.21.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 8.1,
"baseSeverity": "HIGH",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H",
"version": "3.1"
},
"products": [
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-docs-14.18.1-15.21.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-docs-14.18.1-15.21.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2021-12-07T07:57:42Z",
"details": "important"
}
],
"title": "CVE-2021-39134"
},
{
"cve": "CVE-2021-39135",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-39135"
}
],
"notes": [
{
"category": "general",
"text": "`@npmcli/arborist`, the library that calculates dependency trees and manages the node_modules folder hierarchy for the npm command line interface, aims to guarantee that package dependency contracts will be met, and the extraction of package contents will always be performed into the expected folder. This is accomplished by extracting package contents into a project\u0027s `node_modules` folder. If the `node_modules` folder of the root project or any of its dependencies is somehow replaced with a symbolic link, it could allow Arborist to write package dependencies to any arbitrary location on the file system. Note that symbolic links contained within package artifact contents are filtered out, so another means of creating a `node_modules` symbolic link would have to be employed. 1. A `preinstall` script could replace `node_modules` with a symlink. (This is prevented by using `--ignore-scripts`.) 2. An attacker could supply the target with a git repository, instructing them to run `npm install --ignore-scripts` in the root. This may be successful, because `npm install --ignore-scripts` is typically not capable of making changes outside of the project directory, so it may be deemed safe. This is patched in @npmcli/arborist 2.8.2 which is included in npm v7.20.7 and above. For more information including workarounds please see the referenced GHSA-gmw6-94gg-2rc2.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-docs-14.18.1-15.21.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-docs-14.18.1-15.21.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-39135",
"url": "https://www.suse.com/security/cve/CVE-2021-39135"
},
{
"category": "external",
"summary": "SUSE Bug 1190053 for CVE-2021-39135",
"url": "https://bugzilla.suse.com/1190053"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-docs-14.18.1-15.21.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-docs-14.18.1-15.21.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 8.1,
"baseSeverity": "HIGH",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H",
"version": "3.1"
},
"products": [
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-devel-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs14-docs-14.18.1-15.21.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-devel-14.18.1-15.21.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs14-docs-14.18.1-15.21.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm14-14.18.1-15.21.2.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2021-12-07T07:57:42Z",
"details": "important"
}
],
"title": "CVE-2021-39135"
}
]
}
suse-su-2021:3886-1
Vulnerability from csaf_suse
Published
2021-12-02 12:51
Modified
2021-12-02 12:51
Summary
Security update for nodejs14
Notes
Title of the patch
Security update for nodejs14
Description of the patch
This update for nodejs14 fixes the following issues:
nodejs14 was updated to 14.18.1:
* deps: update llhttp to 2.1.4
Security fixes:
- HTTP Request Smuggling due to spaced in headers (bsc#1191601, CVE-2021-22959)
- HTTP Request Smuggling when parsing the body (bsc#1191602, CVE-2021-22960)
Changes in 14.18.0:
* buffer:
+ introduce Blob
+ add base64url encoding option
* child_process:
+ allow options.cwd receive a URL
+ add timeout to spawn and fork
+ allow promisified exec to be cancel
+ add 'overlapped' stdio flag
* dns: add 'tries' option to Resolve options
* fs:
+ allow empty string for temp directory prefix
+ allow no-params fsPromises fileHandle read
+ add support for async iterators to fsPromises.writeFile
* http2: add support for sensitive headers
* process: add 'worker' event
* tls: allow reading data into a static buffer
* worker: add setEnvironmentData/getEnvironmentData
Changes in 14.17.6:
* deps: upgrade npm to 6.14.15 which fixes a number of
security issues
(bsc#1190057, CVE-2021-37701, bsc#1190056, CVE-2021-37712,
bsc#1190055, CVE-2021-37713, bsc#1190054, CVE-2021-39134,
bsc#1190053, CVE-2021-39135)
Patchnames
SUSE-2021-3886,SUSE-SLE-Module-Web-Scripting-12-2021-3886
Terms of use
CSAF 2.0 data is provided by SUSE under the Creative Commons License 4.0 with Attribution (CC-BY-4.0).
{
"document": {
"aggregate_severity": {
"namespace": "https://www.suse.com/support/security/rating/",
"text": "important"
},
"category": "csaf_security_advisory",
"csaf_version": "2.0",
"distribution": {
"text": "Copyright 2024 SUSE LLC. All rights reserved.",
"tlp": {
"label": "WHITE",
"url": "https://www.first.org/tlp/"
}
},
"lang": "en",
"notes": [
{
"category": "summary",
"text": "Security update for nodejs14",
"title": "Title of the patch"
},
{
"category": "description",
"text": "This update for nodejs14 fixes the following issues:\n\nnodejs14 was updated to 14.18.1:\n\n* deps: update llhttp to 2.1.4\n\nSecurity fixes:\n\n- HTTP Request Smuggling due to spaced in headers (bsc#1191601, CVE-2021-22959)\n- HTTP Request Smuggling when parsing the body (bsc#1191602, CVE-2021-22960)\n\nChanges in 14.18.0:\n\n * buffer:\n\n + introduce Blob\n + add base64url encoding option\n\n * child_process:\n\n + allow options.cwd receive a URL\n + add timeout to spawn and fork\n + allow promisified exec to be cancel\n + add \u0027overlapped\u0027 stdio flag\n\n * dns: add \u0027tries\u0027 option to Resolve options\n * fs:\n\n + allow empty string for temp directory prefix\n + allow no-params fsPromises fileHandle read\n + add support for async iterators to fsPromises.writeFile\n\n * http2: add support for sensitive headers\n * process: add \u0027worker\u0027 event\n * tls: allow reading data into a static buffer\n * worker: add setEnvironmentData/getEnvironmentData\n\nChanges in 14.17.6:\n\n * deps: upgrade npm to 6.14.15 which fixes a number of\n security issues\n (bsc#1190057, CVE-2021-37701, bsc#1190056, CVE-2021-37712,\n bsc#1190055, CVE-2021-37713, bsc#1190054, CVE-2021-39134,\n bsc#1190053, CVE-2021-39135)\n",
"title": "Description of the patch"
},
{
"category": "details",
"text": "SUSE-2021-3886,SUSE-SLE-Module-Web-Scripting-12-2021-3886",
"title": "Patchnames"
},
{
"category": "legal_disclaimer",
"text": "CSAF 2.0 data is provided by SUSE under the Creative Commons License 4.0 with Attribution (CC-BY-4.0).",
"title": "Terms of use"
}
],
"publisher": {
"category": "vendor",
"contact_details": "https://www.suse.com/support/security/contact/",
"name": "SUSE Product Security Team",
"namespace": "https://www.suse.com/"
},
"references": [
{
"category": "external",
"summary": "SUSE ratings",
"url": "https://www.suse.com/support/security/rating/"
},
{
"category": "self",
"summary": "URL of this CSAF notice",
"url": "https://ftp.suse.com/pub/projects/security/csaf/suse-su-2021_3886-1.json"
},
{
"category": "self",
"summary": "URL for SUSE-SU-2021:3886-1",
"url": "https://www.suse.com/support/update/announcement/2021/suse-su-20213886-1/"
},
{
"category": "self",
"summary": "E-Mail link for SUSE-SU-2021:3886-1",
"url": "https://lists.suse.com/pipermail/sle-security-updates/2021-December/009816.html"
},
{
"category": "self",
"summary": "SUSE Bug 1190053",
"url": "https://bugzilla.suse.com/1190053"
},
{
"category": "self",
"summary": "SUSE Bug 1190054",
"url": "https://bugzilla.suse.com/1190054"
},
{
"category": "self",
"summary": "SUSE Bug 1190055",
"url": "https://bugzilla.suse.com/1190055"
},
{
"category": "self",
"summary": "SUSE Bug 1190056",
"url": "https://bugzilla.suse.com/1190056"
},
{
"category": "self",
"summary": "SUSE Bug 1190057",
"url": "https://bugzilla.suse.com/1190057"
},
{
"category": "self",
"summary": "SUSE Bug 1191601",
"url": "https://bugzilla.suse.com/1191601"
},
{
"category": "self",
"summary": "SUSE Bug 1191602",
"url": "https://bugzilla.suse.com/1191602"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-22959 page",
"url": "https://www.suse.com/security/cve/CVE-2021-22959/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-22960 page",
"url": "https://www.suse.com/security/cve/CVE-2021-22960/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-37701 page",
"url": "https://www.suse.com/security/cve/CVE-2021-37701/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-37712 page",
"url": "https://www.suse.com/security/cve/CVE-2021-37712/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-37713 page",
"url": "https://www.suse.com/security/cve/CVE-2021-37713/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-39134 page",
"url": "https://www.suse.com/security/cve/CVE-2021-39134/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-39135 page",
"url": "https://www.suse.com/security/cve/CVE-2021-39135/"
}
],
"title": "Security update for nodejs14",
"tracking": {
"current_release_date": "2021-12-02T12:51:24Z",
"generator": {
"date": "2021-12-02T12:51:24Z",
"engine": {
"name": "cve-database.git:bin/generate-csaf.pl",
"version": "1"
}
},
"id": "SUSE-SU-2021:3886-1",
"initial_release_date": "2021-12-02T12:51:24Z",
"revision_history": [
{
"date": "2021-12-02T12:51:24Z",
"number": "1",
"summary": "Current version"
}
],
"status": "final",
"version": "1"
}
},
"product_tree": {
"branches": [
{
"branches": [
{
"branches": [
{
"category": "product_version",
"name": "nodejs14-14.18.1-6.18.2.aarch64",
"product": {
"name": "nodejs14-14.18.1-6.18.2.aarch64",
"product_id": "nodejs14-14.18.1-6.18.2.aarch64"
}
},
{
"category": "product_version",
"name": "nodejs14-devel-14.18.1-6.18.2.aarch64",
"product": {
"name": "nodejs14-devel-14.18.1-6.18.2.aarch64",
"product_id": "nodejs14-devel-14.18.1-6.18.2.aarch64"
}
},
{
"category": "product_version",
"name": "npm14-14.18.1-6.18.2.aarch64",
"product": {
"name": "npm14-14.18.1-6.18.2.aarch64",
"product_id": "npm14-14.18.1-6.18.2.aarch64"
}
}
],
"category": "architecture",
"name": "aarch64"
},
{
"branches": [
{
"category": "product_version",
"name": "nodejs14-14.18.1-6.18.2.i586",
"product": {
"name": "nodejs14-14.18.1-6.18.2.i586",
"product_id": "nodejs14-14.18.1-6.18.2.i586"
}
},
{
"category": "product_version",
"name": "nodejs14-devel-14.18.1-6.18.2.i586",
"product": {
"name": "nodejs14-devel-14.18.1-6.18.2.i586",
"product_id": "nodejs14-devel-14.18.1-6.18.2.i586"
}
},
{
"category": "product_version",
"name": "npm14-14.18.1-6.18.2.i586",
"product": {
"name": "npm14-14.18.1-6.18.2.i586",
"product_id": "npm14-14.18.1-6.18.2.i586"
}
}
],
"category": "architecture",
"name": "i586"
},
{
"branches": [
{
"category": "product_version",
"name": "nodejs14-docs-14.18.1-6.18.2.noarch",
"product": {
"name": "nodejs14-docs-14.18.1-6.18.2.noarch",
"product_id": "nodejs14-docs-14.18.1-6.18.2.noarch"
}
}
],
"category": "architecture",
"name": "noarch"
},
{
"branches": [
{
"category": "product_version",
"name": "nodejs14-14.18.1-6.18.2.ppc64le",
"product": {
"name": "nodejs14-14.18.1-6.18.2.ppc64le",
"product_id": "nodejs14-14.18.1-6.18.2.ppc64le"
}
},
{
"category": "product_version",
"name": "nodejs14-devel-14.18.1-6.18.2.ppc64le",
"product": {
"name": "nodejs14-devel-14.18.1-6.18.2.ppc64le",
"product_id": "nodejs14-devel-14.18.1-6.18.2.ppc64le"
}
},
{
"category": "product_version",
"name": "npm14-14.18.1-6.18.2.ppc64le",
"product": {
"name": "npm14-14.18.1-6.18.2.ppc64le",
"product_id": "npm14-14.18.1-6.18.2.ppc64le"
}
}
],
"category": "architecture",
"name": "ppc64le"
},
{
"branches": [
{
"category": "product_version",
"name": "nodejs14-14.18.1-6.18.2.s390x",
"product": {
"name": "nodejs14-14.18.1-6.18.2.s390x",
"product_id": "nodejs14-14.18.1-6.18.2.s390x"
}
},
{
"category": "product_version",
"name": "nodejs14-devel-14.18.1-6.18.2.s390x",
"product": {
"name": "nodejs14-devel-14.18.1-6.18.2.s390x",
"product_id": "nodejs14-devel-14.18.1-6.18.2.s390x"
}
},
{
"category": "product_version",
"name": "npm14-14.18.1-6.18.2.s390x",
"product": {
"name": "npm14-14.18.1-6.18.2.s390x",
"product_id": "npm14-14.18.1-6.18.2.s390x"
}
}
],
"category": "architecture",
"name": "s390x"
},
{
"branches": [
{
"category": "product_version",
"name": "nodejs14-14.18.1-6.18.2.x86_64",
"product": {
"name": "nodejs14-14.18.1-6.18.2.x86_64",
"product_id": "nodejs14-14.18.1-6.18.2.x86_64"
}
},
{
"category": "product_version",
"name": "nodejs14-devel-14.18.1-6.18.2.x86_64",
"product": {
"name": "nodejs14-devel-14.18.1-6.18.2.x86_64",
"product_id": "nodejs14-devel-14.18.1-6.18.2.x86_64"
}
},
{
"category": "product_version",
"name": "npm14-14.18.1-6.18.2.x86_64",
"product": {
"name": "npm14-14.18.1-6.18.2.x86_64",
"product_id": "npm14-14.18.1-6.18.2.x86_64"
}
}
],
"category": "architecture",
"name": "x86_64"
},
{
"branches": [
{
"category": "product_name",
"name": "SUSE Linux Enterprise Module for Web and Scripting 12",
"product": {
"name": "SUSE Linux Enterprise Module for Web and Scripting 12",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 12",
"product_identification_helper": {
"cpe": "cpe:/o:suse:sle-module-web-scripting:12"
}
}
}
],
"category": "product_family",
"name": "SUSE Linux Enterprise"
}
],
"category": "vendor",
"name": "SUSE"
}
],
"relationships": [
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs14-14.18.1-6.18.2.aarch64 as component of SUSE Linux Enterprise Module for Web and Scripting 12",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.aarch64"
},
"product_reference": "nodejs14-14.18.1-6.18.2.aarch64",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 12"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs14-14.18.1-6.18.2.ppc64le as component of SUSE Linux Enterprise Module for Web and Scripting 12",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.ppc64le"
},
"product_reference": "nodejs14-14.18.1-6.18.2.ppc64le",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 12"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs14-14.18.1-6.18.2.s390x as component of SUSE Linux Enterprise Module for Web and Scripting 12",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.s390x"
},
"product_reference": "nodejs14-14.18.1-6.18.2.s390x",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 12"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs14-14.18.1-6.18.2.x86_64 as component of SUSE Linux Enterprise Module for Web and Scripting 12",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.x86_64"
},
"product_reference": "nodejs14-14.18.1-6.18.2.x86_64",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 12"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs14-devel-14.18.1-6.18.2.aarch64 as component of SUSE Linux Enterprise Module for Web and Scripting 12",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.aarch64"
},
"product_reference": "nodejs14-devel-14.18.1-6.18.2.aarch64",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 12"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs14-devel-14.18.1-6.18.2.ppc64le as component of SUSE Linux Enterprise Module for Web and Scripting 12",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.ppc64le"
},
"product_reference": "nodejs14-devel-14.18.1-6.18.2.ppc64le",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 12"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs14-devel-14.18.1-6.18.2.s390x as component of SUSE Linux Enterprise Module for Web and Scripting 12",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.s390x"
},
"product_reference": "nodejs14-devel-14.18.1-6.18.2.s390x",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 12"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs14-devel-14.18.1-6.18.2.x86_64 as component of SUSE Linux Enterprise Module for Web and Scripting 12",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.x86_64"
},
"product_reference": "nodejs14-devel-14.18.1-6.18.2.x86_64",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 12"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs14-docs-14.18.1-6.18.2.noarch as component of SUSE Linux Enterprise Module for Web and Scripting 12",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-docs-14.18.1-6.18.2.noarch"
},
"product_reference": "nodejs14-docs-14.18.1-6.18.2.noarch",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 12"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "npm14-14.18.1-6.18.2.aarch64 as component of SUSE Linux Enterprise Module for Web and Scripting 12",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.aarch64"
},
"product_reference": "npm14-14.18.1-6.18.2.aarch64",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 12"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "npm14-14.18.1-6.18.2.ppc64le as component of SUSE Linux Enterprise Module for Web and Scripting 12",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.ppc64le"
},
"product_reference": "npm14-14.18.1-6.18.2.ppc64le",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 12"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "npm14-14.18.1-6.18.2.s390x as component of SUSE Linux Enterprise Module for Web and Scripting 12",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.s390x"
},
"product_reference": "npm14-14.18.1-6.18.2.s390x",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 12"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "npm14-14.18.1-6.18.2.x86_64 as component of SUSE Linux Enterprise Module for Web and Scripting 12",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.x86_64"
},
"product_reference": "npm14-14.18.1-6.18.2.x86_64",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 12"
}
]
},
"vulnerabilities": [
{
"cve": "CVE-2021-22959",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-22959"
}
],
"notes": [
{
"category": "general",
"text": "The parser in accepts requests with a space (SP) right after the header name before the colon. This can lead to HTTP Request Smuggling (HRS) in llhttp \u003c v2.1.4 and \u003c v6.0.6.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-docs-14.18.1-6.18.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-22959",
"url": "https://www.suse.com/security/cve/CVE-2021-22959"
},
{
"category": "external",
"summary": "SUSE Bug 1191601 for CVE-2021-22959",
"url": "https://bugzilla.suse.com/1191601"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-docs-14.18.1-6.18.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 6.1,
"baseSeverity": "MEDIUM",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N",
"version": "3.1"
},
"products": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-docs-14.18.1-6.18.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2021-12-02T12:51:24Z",
"details": "moderate"
}
],
"title": "CVE-2021-22959"
},
{
"cve": "CVE-2021-22960",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-22960"
}
],
"notes": [
{
"category": "general",
"text": "The parse function in llhttp \u003c 2.1.4 and \u003c 6.0.6. ignores chunk extensions when parsing the body of chunked requests. This leads to HTTP Request Smuggling (HRS) under certain conditions.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-docs-14.18.1-6.18.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-22960",
"url": "https://www.suse.com/security/cve/CVE-2021-22960"
},
{
"category": "external",
"summary": "SUSE Bug 1191602 for CVE-2021-22960",
"url": "https://bugzilla.suse.com/1191602"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-docs-14.18.1-6.18.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 6.1,
"baseSeverity": "MEDIUM",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N",
"version": "3.1"
},
"products": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-docs-14.18.1-6.18.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2021-12-02T12:51:24Z",
"details": "moderate"
}
],
"title": "CVE-2021-22960"
},
{
"cve": "CVE-2021-37701",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-37701"
}
],
"notes": [
{
"category": "general",
"text": "The npm package \"tar\" (aka node-tar) before versions 4.4.16, 5.0.8, and 6.1.7 has an arbitrary file creation/overwrite and arbitrary code execution vulnerability. node-tar aims to guarantee that any file whose location would be modified by a symbolic link is not extracted. This is, in part, achieved by ensuring that extracted directories are not symlinks. Additionally, in order to prevent unnecessary stat calls to determine whether a given path is a directory, paths are cached when directories are created. This logic was insufficient when extracting tar files that contained both a directory and a symlink with the same name as the directory, where the symlink and directory names in the archive entry used backslashes as a path separator on posix systems. The cache checking logic used both `\\` and `/` characters as path separators, however `\\` is a valid filename character on posix systems. By first creating a directory, and then replacing that directory with a symlink, it was thus possible to bypass node-tar symlink checks on directories, essentially allowing an untrusted tar file to symlink into an arbitrary location and subsequently extracting arbitrary files into that location, thus allowing arbitrary file creation and overwrite. Additionally, a similar confusion could arise on case-insensitive filesystems. If a tar archive contained a directory at `FOO`, followed by a symbolic link named `foo`, then on case-insensitive file systems, the creation of the symbolic link would remove the directory from the filesystem, but _not_ from the internal directory cache, as it would not be treated as a cache hit. A subsequent file entry within the `FOO` directory would then be placed in the target of the symbolic link, thinking that the directory had already been created. These issues were addressed in releases 4.4.16, 5.0.8 and 6.1.7. The v3 branch of node-tar has been deprecated and did not receive patches for these issues. If you are still using a v3 release we recommend you update to a more recent version of node-tar. If this is not possible, a workaround is available in the referenced GHSA-9r2w-394v-53qc.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-docs-14.18.1-6.18.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-37701",
"url": "https://www.suse.com/security/cve/CVE-2021-37701"
},
{
"category": "external",
"summary": "SUSE Bug 1190057 for CVE-2021-37701",
"url": "https://bugzilla.suse.com/1190057"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-docs-14.18.1-6.18.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 8.1,
"baseSeverity": "HIGH",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H",
"version": "3.1"
},
"products": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-docs-14.18.1-6.18.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2021-12-02T12:51:24Z",
"details": "important"
}
],
"title": "CVE-2021-37701"
},
{
"cve": "CVE-2021-37712",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-37712"
}
],
"notes": [
{
"category": "general",
"text": "The npm package \"tar\" (aka node-tar) before versions 4.4.18, 5.0.10, and 6.1.9 has an arbitrary file creation/overwrite and arbitrary code execution vulnerability. node-tar aims to guarantee that any file whose location would be modified by a symbolic link is not extracted. This is, in part, achieved by ensuring that extracted directories are not symlinks. Additionally, in order to prevent unnecessary stat calls to determine whether a given path is a directory, paths are cached when directories are created. This logic was insufficient when extracting tar files that contained both a directory and a symlink with names containing unicode values that normalized to the same value. Additionally, on Windows systems, long path portions would resolve to the same file system entities as their 8.3 \"short path\" counterparts. A specially crafted tar archive could thus include a directory with one form of the path, followed by a symbolic link with a different string that resolves to the same file system entity, followed by a file using the first form. By first creating a directory, and then replacing that directory with a symlink that had a different apparent name that resolved to the same entry in the filesystem, it was thus possible to bypass node-tar symlink checks on directories, essentially allowing an untrusted tar file to symlink into an arbitrary location and subsequently extracting arbitrary files into that location, thus allowing arbitrary file creation and overwrite. These issues were addressed in releases 4.4.18, 5.0.10 and 6.1.9. The v3 branch of node-tar has been deprecated and did not receive patches for these issues. If you are still using a v3 release we recommend you update to a more recent version of node-tar. If this is not possible, a workaround is available in the referenced GHSA-qq89-hq3f-393p.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-docs-14.18.1-6.18.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-37712",
"url": "https://www.suse.com/security/cve/CVE-2021-37712"
},
{
"category": "external",
"summary": "SUSE Bug 1190056 for CVE-2021-37712",
"url": "https://bugzilla.suse.com/1190056"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-docs-14.18.1-6.18.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 8.1,
"baseSeverity": "HIGH",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H",
"version": "3.1"
},
"products": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-docs-14.18.1-6.18.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2021-12-02T12:51:24Z",
"details": "important"
}
],
"title": "CVE-2021-37712"
},
{
"cve": "CVE-2021-37713",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-37713"
}
],
"notes": [
{
"category": "general",
"text": "The npm package \"tar\" (aka node-tar) before versions 4.4.18, 5.0.10, and 6.1.9 has an arbitrary file creation/overwrite and arbitrary code execution vulnerability. node-tar aims to guarantee that any file whose location would be outside of the extraction target directory is not extracted. This is, in part, accomplished by sanitizing absolute paths of entries within the archive, skipping archive entries that contain `..` path portions, and resolving the sanitized paths against the extraction target directory. This logic was insufficient on Windows systems when extracting tar files that contained a path that was not an absolute path, but specified a drive letter different from the extraction target, such as `C:some\\path`. If the drive letter does not match the extraction target, for example `D:\\extraction\\dir`, then the result of `path.resolve(extractionDirectory, entryPath)` would resolve against the current working directory on the `C:` drive, rather than the extraction target directory. Additionally, a `..` portion of the path could occur immediately after the drive letter, such as `C:../foo`, and was not properly sanitized by the logic that checked for `..` within the normalized and split portions of the path. This only affects users of `node-tar` on Windows systems. These issues were addressed in releases 4.4.18, 5.0.10 and 6.1.9. The v3 branch of node-tar has been deprecated and did not receive patches for these issues. If you are still using a v3 release we recommend you update to a more recent version of node-tar. There is no reasonable way to work around this issue without performing the same path normalization procedures that node-tar now does. Users are encouraged to upgrade to the latest patched versions of node-tar, rather than attempt to sanitize paths themselves.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-docs-14.18.1-6.18.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-37713",
"url": "https://www.suse.com/security/cve/CVE-2021-37713"
},
{
"category": "external",
"summary": "SUSE Bug 1190055 for CVE-2021-37713",
"url": "https://bugzilla.suse.com/1190055"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-docs-14.18.1-6.18.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 8.2,
"baseSeverity": "HIGH",
"vectorString": "CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N",
"version": "3.1"
},
"products": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-docs-14.18.1-6.18.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2021-12-02T12:51:24Z",
"details": "important"
}
],
"title": "CVE-2021-37713"
},
{
"cve": "CVE-2021-39134",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-39134"
}
],
"notes": [
{
"category": "general",
"text": "`@npmcli/arborist`, the library that calculates dependency trees and manages the `node_modules` folder hierarchy for the npm command line interface, aims to guarantee that package dependency contracts will be met, and the extraction of package contents will always be performed into the expected folder. This is, in part, accomplished by resolving dependency specifiers defined in `package.json` manifests for dependencies with a specific name, and nesting folders to resolve conflicting dependencies. When multiple dependencies differ only in the case of their name, Arborist\u0027s internal data structure saw them as separate items that could coexist within the same level in the `node_modules` hierarchy. However, on case-insensitive file systems (such as macOS and Windows), this is not the case. Combined with a symlink dependency such as `file:/some/path`, this allowed an attacker to create a situation in which arbitrary contents could be written to any location on the filesystem. For example, a package `pwn-a` could define a dependency in their `package.json` file such as `\"foo\": \"file:/some/path\"`. Another package, `pwn-b` could define a dependency such as `FOO: \"file:foo.tgz\"`. On case-insensitive file systems, if `pwn-a` was installed, and then `pwn-b` was installed afterwards, the contents of `foo.tgz` would be written to `/some/path`, and any existing contents of `/some/path` would be removed. Anyone using npm v7.20.6 or earlier on a case-insensitive filesystem is potentially affected. This is patched in @npmcli/arborist 2.8.2 which is included in npm v7.20.7 and above.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-docs-14.18.1-6.18.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-39134",
"url": "https://www.suse.com/security/cve/CVE-2021-39134"
},
{
"category": "external",
"summary": "SUSE Bug 1190054 for CVE-2021-39134",
"url": "https://bugzilla.suse.com/1190054"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-docs-14.18.1-6.18.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 8.1,
"baseSeverity": "HIGH",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H",
"version": "3.1"
},
"products": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-docs-14.18.1-6.18.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2021-12-02T12:51:24Z",
"details": "important"
}
],
"title": "CVE-2021-39134"
},
{
"cve": "CVE-2021-39135",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-39135"
}
],
"notes": [
{
"category": "general",
"text": "`@npmcli/arborist`, the library that calculates dependency trees and manages the node_modules folder hierarchy for the npm command line interface, aims to guarantee that package dependency contracts will be met, and the extraction of package contents will always be performed into the expected folder. This is accomplished by extracting package contents into a project\u0027s `node_modules` folder. If the `node_modules` folder of the root project or any of its dependencies is somehow replaced with a symbolic link, it could allow Arborist to write package dependencies to any arbitrary location on the file system. Note that symbolic links contained within package artifact contents are filtered out, so another means of creating a `node_modules` symbolic link would have to be employed. 1. A `preinstall` script could replace `node_modules` with a symlink. (This is prevented by using `--ignore-scripts`.) 2. An attacker could supply the target with a git repository, instructing them to run `npm install --ignore-scripts` in the root. This may be successful, because `npm install --ignore-scripts` is typically not capable of making changes outside of the project directory, so it may be deemed safe. This is patched in @npmcli/arborist 2.8.2 which is included in npm v7.20.7 and above. For more information including workarounds please see the referenced GHSA-gmw6-94gg-2rc2.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-docs-14.18.1-6.18.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-39135",
"url": "https://www.suse.com/security/cve/CVE-2021-39135"
},
{
"category": "external",
"summary": "SUSE Bug 1190053 for CVE-2021-39135",
"url": "https://bugzilla.suse.com/1190053"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-docs-14.18.1-6.18.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 8.1,
"baseSeverity": "HIGH",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H",
"version": "3.1"
},
"products": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-14.18.1-6.18.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-devel-14.18.1-6.18.2.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs14-docs-14.18.1-6.18.2.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm14-14.18.1-6.18.2.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2021-12-02T12:51:24Z",
"details": "important"
}
],
"title": "CVE-2021-39135"
}
]
}
suse-su-2021:3940-1
Vulnerability from csaf_suse
Published
2021-12-06 13:43
Modified
2021-12-06 13:43
Summary
Security update for nodejs12
Notes
Title of the patch
Security update for nodejs12
Description of the patch
This update for nodejs12 fixes the following issues:
- CVE-2021-22959: Fixed HTTP Request Smuggling due to spaced in headers (bsc#1191601).
- CVE-2021-22960: Fixed HTTP Request Smuggling when parsing the body (bsc#1191602).
- CVE-2021-37701: Fixed arbitrary file creation and overwrite in nodejs-tar (bsc#1190057).
- CVE-2021-37712: Fixed arbitrary file creation and overwrite in nodejs-tar (bsc#1190056).
- CVE-2021-37713: Fixed arbitrary code execution and file creation and overwrite in nodejs-tar (bsc#1190055).
- CVE-2021-39134: Fixed symling following vulnerability in nodejs-arborist (bsc#1190054).
- CVE-2021-39135: Fixed symling following vulnerability in nodejs-arborist (bsc#1190053).
Patchnames
SUSE-2021-3940,SUSE-SLE-Module-Web-Scripting-15-SP2-2021-3940,SUSE-SLE-Module-Web-Scripting-15-SP3-2021-3940
Terms of use
CSAF 2.0 data is provided by SUSE under the Creative Commons License 4.0 with Attribution (CC-BY-4.0).
{
"document": {
"aggregate_severity": {
"namespace": "https://www.suse.com/support/security/rating/",
"text": "important"
},
"category": "csaf_security_advisory",
"csaf_version": "2.0",
"distribution": {
"text": "Copyright 2024 SUSE LLC. All rights reserved.",
"tlp": {
"label": "WHITE",
"url": "https://www.first.org/tlp/"
}
},
"lang": "en",
"notes": [
{
"category": "summary",
"text": "Security update for nodejs12",
"title": "Title of the patch"
},
{
"category": "description",
"text": "This update for nodejs12 fixes the following issues:\n\n- CVE-2021-22959: Fixed HTTP Request Smuggling due to spaced in headers (bsc#1191601).\n- CVE-2021-22960: Fixed HTTP Request Smuggling when parsing the body (bsc#1191602).\n- CVE-2021-37701: Fixed arbitrary file creation and overwrite in nodejs-tar (bsc#1190057). \n- CVE-2021-37712: Fixed arbitrary file creation and overwrite in nodejs-tar (bsc#1190056). \n- CVE-2021-37713: Fixed arbitrary code execution and file creation and overwrite in nodejs-tar (bsc#1190055). \n- CVE-2021-39134: Fixed symling following vulnerability in nodejs-arborist (bsc#1190054). \n- CVE-2021-39135: Fixed symling following vulnerability in nodejs-arborist (bsc#1190053). \n",
"title": "Description of the patch"
},
{
"category": "details",
"text": "SUSE-2021-3940,SUSE-SLE-Module-Web-Scripting-15-SP2-2021-3940,SUSE-SLE-Module-Web-Scripting-15-SP3-2021-3940",
"title": "Patchnames"
},
{
"category": "legal_disclaimer",
"text": "CSAF 2.0 data is provided by SUSE under the Creative Commons License 4.0 with Attribution (CC-BY-4.0).",
"title": "Terms of use"
}
],
"publisher": {
"category": "vendor",
"contact_details": "https://www.suse.com/support/security/contact/",
"name": "SUSE Product Security Team",
"namespace": "https://www.suse.com/"
},
"references": [
{
"category": "external",
"summary": "SUSE ratings",
"url": "https://www.suse.com/support/security/rating/"
},
{
"category": "self",
"summary": "URL of this CSAF notice",
"url": "https://ftp.suse.com/pub/projects/security/csaf/suse-su-2021_3940-1.json"
},
{
"category": "self",
"summary": "URL for SUSE-SU-2021:3940-1",
"url": "https://www.suse.com/support/update/announcement/2021/suse-su-20213940-1/"
},
{
"category": "self",
"summary": "E-Mail link for SUSE-SU-2021:3940-1",
"url": "https://lists.suse.com/pipermail/sle-security-updates/2021-December/009853.html"
},
{
"category": "self",
"summary": "SUSE Bug 1190053",
"url": "https://bugzilla.suse.com/1190053"
},
{
"category": "self",
"summary": "SUSE Bug 1190054",
"url": "https://bugzilla.suse.com/1190054"
},
{
"category": "self",
"summary": "SUSE Bug 1190055",
"url": "https://bugzilla.suse.com/1190055"
},
{
"category": "self",
"summary": "SUSE Bug 1190056",
"url": "https://bugzilla.suse.com/1190056"
},
{
"category": "self",
"summary": "SUSE Bug 1190057",
"url": "https://bugzilla.suse.com/1190057"
},
{
"category": "self",
"summary": "SUSE Bug 1191601",
"url": "https://bugzilla.suse.com/1191601"
},
{
"category": "self",
"summary": "SUSE Bug 1191602",
"url": "https://bugzilla.suse.com/1191602"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-22959 page",
"url": "https://www.suse.com/security/cve/CVE-2021-22959/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-22960 page",
"url": "https://www.suse.com/security/cve/CVE-2021-22960/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-37701 page",
"url": "https://www.suse.com/security/cve/CVE-2021-37701/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-37712 page",
"url": "https://www.suse.com/security/cve/CVE-2021-37712/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-37713 page",
"url": "https://www.suse.com/security/cve/CVE-2021-37713/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-39134 page",
"url": "https://www.suse.com/security/cve/CVE-2021-39134/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-39135 page",
"url": "https://www.suse.com/security/cve/CVE-2021-39135/"
}
],
"title": "Security update for nodejs12",
"tracking": {
"current_release_date": "2021-12-06T13:43:50Z",
"generator": {
"date": "2021-12-06T13:43:50Z",
"engine": {
"name": "cve-database.git:bin/generate-csaf.pl",
"version": "1"
}
},
"id": "SUSE-SU-2021:3940-1",
"initial_release_date": "2021-12-06T13:43:50Z",
"revision_history": [
{
"date": "2021-12-06T13:43:50Z",
"number": "1",
"summary": "Current version"
}
],
"status": "final",
"version": "1"
}
},
"product_tree": {
"branches": [
{
"branches": [
{
"branches": [
{
"category": "product_version",
"name": "nodejs12-12.22.7-4.22.1.aarch64",
"product": {
"name": "nodejs12-12.22.7-4.22.1.aarch64",
"product_id": "nodejs12-12.22.7-4.22.1.aarch64"
}
},
{
"category": "product_version",
"name": "nodejs12-devel-12.22.7-4.22.1.aarch64",
"product": {
"name": "nodejs12-devel-12.22.7-4.22.1.aarch64",
"product_id": "nodejs12-devel-12.22.7-4.22.1.aarch64"
}
},
{
"category": "product_version",
"name": "npm12-12.22.7-4.22.1.aarch64",
"product": {
"name": "npm12-12.22.7-4.22.1.aarch64",
"product_id": "npm12-12.22.7-4.22.1.aarch64"
}
}
],
"category": "architecture",
"name": "aarch64"
},
{
"branches": [
{
"category": "product_version",
"name": "nodejs12-12.22.7-4.22.1.i586",
"product": {
"name": "nodejs12-12.22.7-4.22.1.i586",
"product_id": "nodejs12-12.22.7-4.22.1.i586"
}
},
{
"category": "product_version",
"name": "nodejs12-devel-12.22.7-4.22.1.i586",
"product": {
"name": "nodejs12-devel-12.22.7-4.22.1.i586",
"product_id": "nodejs12-devel-12.22.7-4.22.1.i586"
}
},
{
"category": "product_version",
"name": "npm12-12.22.7-4.22.1.i586",
"product": {
"name": "npm12-12.22.7-4.22.1.i586",
"product_id": "npm12-12.22.7-4.22.1.i586"
}
}
],
"category": "architecture",
"name": "i586"
},
{
"branches": [
{
"category": "product_version",
"name": "nodejs12-docs-12.22.7-4.22.1.noarch",
"product": {
"name": "nodejs12-docs-12.22.7-4.22.1.noarch",
"product_id": "nodejs12-docs-12.22.7-4.22.1.noarch"
}
}
],
"category": "architecture",
"name": "noarch"
},
{
"branches": [
{
"category": "product_version",
"name": "nodejs12-12.22.7-4.22.1.ppc64le",
"product": {
"name": "nodejs12-12.22.7-4.22.1.ppc64le",
"product_id": "nodejs12-12.22.7-4.22.1.ppc64le"
}
},
{
"category": "product_version",
"name": "nodejs12-devel-12.22.7-4.22.1.ppc64le",
"product": {
"name": "nodejs12-devel-12.22.7-4.22.1.ppc64le",
"product_id": "nodejs12-devel-12.22.7-4.22.1.ppc64le"
}
},
{
"category": "product_version",
"name": "npm12-12.22.7-4.22.1.ppc64le",
"product": {
"name": "npm12-12.22.7-4.22.1.ppc64le",
"product_id": "npm12-12.22.7-4.22.1.ppc64le"
}
}
],
"category": "architecture",
"name": "ppc64le"
},
{
"branches": [
{
"category": "product_version",
"name": "nodejs12-12.22.7-4.22.1.s390x",
"product": {
"name": "nodejs12-12.22.7-4.22.1.s390x",
"product_id": "nodejs12-12.22.7-4.22.1.s390x"
}
},
{
"category": "product_version",
"name": "nodejs12-devel-12.22.7-4.22.1.s390x",
"product": {
"name": "nodejs12-devel-12.22.7-4.22.1.s390x",
"product_id": "nodejs12-devel-12.22.7-4.22.1.s390x"
}
},
{
"category": "product_version",
"name": "npm12-12.22.7-4.22.1.s390x",
"product": {
"name": "npm12-12.22.7-4.22.1.s390x",
"product_id": "npm12-12.22.7-4.22.1.s390x"
}
}
],
"category": "architecture",
"name": "s390x"
},
{
"branches": [
{
"category": "product_version",
"name": "nodejs12-12.22.7-4.22.1.x86_64",
"product": {
"name": "nodejs12-12.22.7-4.22.1.x86_64",
"product_id": "nodejs12-12.22.7-4.22.1.x86_64"
}
},
{
"category": "product_version",
"name": "nodejs12-devel-12.22.7-4.22.1.x86_64",
"product": {
"name": "nodejs12-devel-12.22.7-4.22.1.x86_64",
"product_id": "nodejs12-devel-12.22.7-4.22.1.x86_64"
}
},
{
"category": "product_version",
"name": "npm12-12.22.7-4.22.1.x86_64",
"product": {
"name": "npm12-12.22.7-4.22.1.x86_64",
"product_id": "npm12-12.22.7-4.22.1.x86_64"
}
}
],
"category": "architecture",
"name": "x86_64"
},
{
"branches": [
{
"category": "product_name",
"name": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2",
"product": {
"name": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2",
"product_identification_helper": {
"cpe": "cpe:/o:suse:sle-module-web-scripting:15:sp2"
}
}
},
{
"category": "product_name",
"name": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3",
"product": {
"name": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3",
"product_identification_helper": {
"cpe": "cpe:/o:suse:sle-module-web-scripting:15:sp3"
}
}
}
],
"category": "product_family",
"name": "SUSE Linux Enterprise"
}
],
"category": "vendor",
"name": "SUSE"
}
],
"relationships": [
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs12-12.22.7-4.22.1.aarch64 as component of SUSE Linux Enterprise Module for Web and Scripting 15 SP2",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.aarch64"
},
"product_reference": "nodejs12-12.22.7-4.22.1.aarch64",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs12-12.22.7-4.22.1.ppc64le as component of SUSE Linux Enterprise Module for Web and Scripting 15 SP2",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.ppc64le"
},
"product_reference": "nodejs12-12.22.7-4.22.1.ppc64le",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs12-12.22.7-4.22.1.s390x as component of SUSE Linux Enterprise Module for Web and Scripting 15 SP2",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.s390x"
},
"product_reference": "nodejs12-12.22.7-4.22.1.s390x",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs12-12.22.7-4.22.1.x86_64 as component of SUSE Linux Enterprise Module for Web and Scripting 15 SP2",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.x86_64"
},
"product_reference": "nodejs12-12.22.7-4.22.1.x86_64",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs12-devel-12.22.7-4.22.1.aarch64 as component of SUSE Linux Enterprise Module for Web and Scripting 15 SP2",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.aarch64"
},
"product_reference": "nodejs12-devel-12.22.7-4.22.1.aarch64",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs12-devel-12.22.7-4.22.1.ppc64le as component of SUSE Linux Enterprise Module for Web and Scripting 15 SP2",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.ppc64le"
},
"product_reference": "nodejs12-devel-12.22.7-4.22.1.ppc64le",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs12-devel-12.22.7-4.22.1.s390x as component of SUSE Linux Enterprise Module for Web and Scripting 15 SP2",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.s390x"
},
"product_reference": "nodejs12-devel-12.22.7-4.22.1.s390x",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs12-devel-12.22.7-4.22.1.x86_64 as component of SUSE Linux Enterprise Module for Web and Scripting 15 SP2",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.x86_64"
},
"product_reference": "nodejs12-devel-12.22.7-4.22.1.x86_64",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs12-docs-12.22.7-4.22.1.noarch as component of SUSE Linux Enterprise Module for Web and Scripting 15 SP2",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-docs-12.22.7-4.22.1.noarch"
},
"product_reference": "nodejs12-docs-12.22.7-4.22.1.noarch",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "npm12-12.22.7-4.22.1.aarch64 as component of SUSE Linux Enterprise Module for Web and Scripting 15 SP2",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.aarch64"
},
"product_reference": "npm12-12.22.7-4.22.1.aarch64",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "npm12-12.22.7-4.22.1.ppc64le as component of SUSE Linux Enterprise Module for Web and Scripting 15 SP2",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.ppc64le"
},
"product_reference": "npm12-12.22.7-4.22.1.ppc64le",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "npm12-12.22.7-4.22.1.s390x as component of SUSE Linux Enterprise Module for Web and Scripting 15 SP2",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.s390x"
},
"product_reference": "npm12-12.22.7-4.22.1.s390x",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "npm12-12.22.7-4.22.1.x86_64 as component of SUSE Linux Enterprise Module for Web and Scripting 15 SP2",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.x86_64"
},
"product_reference": "npm12-12.22.7-4.22.1.x86_64",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 15 SP2"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs12-12.22.7-4.22.1.aarch64 as component of SUSE Linux Enterprise Module for Web and Scripting 15 SP3",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.aarch64"
},
"product_reference": "nodejs12-12.22.7-4.22.1.aarch64",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs12-12.22.7-4.22.1.ppc64le as component of SUSE Linux Enterprise Module for Web and Scripting 15 SP3",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.ppc64le"
},
"product_reference": "nodejs12-12.22.7-4.22.1.ppc64le",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs12-12.22.7-4.22.1.s390x as component of SUSE Linux Enterprise Module for Web and Scripting 15 SP3",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.s390x"
},
"product_reference": "nodejs12-12.22.7-4.22.1.s390x",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs12-12.22.7-4.22.1.x86_64 as component of SUSE Linux Enterprise Module for Web and Scripting 15 SP3",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.x86_64"
},
"product_reference": "nodejs12-12.22.7-4.22.1.x86_64",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs12-devel-12.22.7-4.22.1.aarch64 as component of SUSE Linux Enterprise Module for Web and Scripting 15 SP3",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.aarch64"
},
"product_reference": "nodejs12-devel-12.22.7-4.22.1.aarch64",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs12-devel-12.22.7-4.22.1.ppc64le as component of SUSE Linux Enterprise Module for Web and Scripting 15 SP3",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.ppc64le"
},
"product_reference": "nodejs12-devel-12.22.7-4.22.1.ppc64le",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs12-devel-12.22.7-4.22.1.s390x as component of SUSE Linux Enterprise Module for Web and Scripting 15 SP3",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.s390x"
},
"product_reference": "nodejs12-devel-12.22.7-4.22.1.s390x",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs12-devel-12.22.7-4.22.1.x86_64 as component of SUSE Linux Enterprise Module for Web and Scripting 15 SP3",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.x86_64"
},
"product_reference": "nodejs12-devel-12.22.7-4.22.1.x86_64",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs12-docs-12.22.7-4.22.1.noarch as component of SUSE Linux Enterprise Module for Web and Scripting 15 SP3",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-docs-12.22.7-4.22.1.noarch"
},
"product_reference": "nodejs12-docs-12.22.7-4.22.1.noarch",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "npm12-12.22.7-4.22.1.aarch64 as component of SUSE Linux Enterprise Module for Web and Scripting 15 SP3",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.aarch64"
},
"product_reference": "npm12-12.22.7-4.22.1.aarch64",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "npm12-12.22.7-4.22.1.ppc64le as component of SUSE Linux Enterprise Module for Web and Scripting 15 SP3",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.ppc64le"
},
"product_reference": "npm12-12.22.7-4.22.1.ppc64le",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "npm12-12.22.7-4.22.1.s390x as component of SUSE Linux Enterprise Module for Web and Scripting 15 SP3",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.s390x"
},
"product_reference": "npm12-12.22.7-4.22.1.s390x",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "npm12-12.22.7-4.22.1.x86_64 as component of SUSE Linux Enterprise Module for Web and Scripting 15 SP3",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.x86_64"
},
"product_reference": "npm12-12.22.7-4.22.1.x86_64",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 15 SP3"
}
]
},
"vulnerabilities": [
{
"cve": "CVE-2021-22959",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-22959"
}
],
"notes": [
{
"category": "general",
"text": "The parser in accepts requests with a space (SP) right after the header name before the colon. This can lead to HTTP Request Smuggling (HRS) in llhttp \u003c v2.1.4 and \u003c v6.0.6.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-docs-12.22.7-4.22.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-docs-12.22.7-4.22.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-22959",
"url": "https://www.suse.com/security/cve/CVE-2021-22959"
},
{
"category": "external",
"summary": "SUSE Bug 1191601 for CVE-2021-22959",
"url": "https://bugzilla.suse.com/1191601"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-docs-12.22.7-4.22.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-docs-12.22.7-4.22.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 6.1,
"baseSeverity": "MEDIUM",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N",
"version": "3.1"
},
"products": [
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-docs-12.22.7-4.22.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-docs-12.22.7-4.22.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2021-12-06T13:43:50Z",
"details": "moderate"
}
],
"title": "CVE-2021-22959"
},
{
"cve": "CVE-2021-22960",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-22960"
}
],
"notes": [
{
"category": "general",
"text": "The parse function in llhttp \u003c 2.1.4 and \u003c 6.0.6. ignores chunk extensions when parsing the body of chunked requests. This leads to HTTP Request Smuggling (HRS) under certain conditions.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-docs-12.22.7-4.22.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-docs-12.22.7-4.22.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-22960",
"url": "https://www.suse.com/security/cve/CVE-2021-22960"
},
{
"category": "external",
"summary": "SUSE Bug 1191602 for CVE-2021-22960",
"url": "https://bugzilla.suse.com/1191602"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-docs-12.22.7-4.22.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-docs-12.22.7-4.22.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 6.1,
"baseSeverity": "MEDIUM",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N",
"version": "3.1"
},
"products": [
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-docs-12.22.7-4.22.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-docs-12.22.7-4.22.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2021-12-06T13:43:50Z",
"details": "moderate"
}
],
"title": "CVE-2021-22960"
},
{
"cve": "CVE-2021-37701",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-37701"
}
],
"notes": [
{
"category": "general",
"text": "The npm package \"tar\" (aka node-tar) before versions 4.4.16, 5.0.8, and 6.1.7 has an arbitrary file creation/overwrite and arbitrary code execution vulnerability. node-tar aims to guarantee that any file whose location would be modified by a symbolic link is not extracted. This is, in part, achieved by ensuring that extracted directories are not symlinks. Additionally, in order to prevent unnecessary stat calls to determine whether a given path is a directory, paths are cached when directories are created. This logic was insufficient when extracting tar files that contained both a directory and a symlink with the same name as the directory, where the symlink and directory names in the archive entry used backslashes as a path separator on posix systems. The cache checking logic used both `\\` and `/` characters as path separators, however `\\` is a valid filename character on posix systems. By first creating a directory, and then replacing that directory with a symlink, it was thus possible to bypass node-tar symlink checks on directories, essentially allowing an untrusted tar file to symlink into an arbitrary location and subsequently extracting arbitrary files into that location, thus allowing arbitrary file creation and overwrite. Additionally, a similar confusion could arise on case-insensitive filesystems. If a tar archive contained a directory at `FOO`, followed by a symbolic link named `foo`, then on case-insensitive file systems, the creation of the symbolic link would remove the directory from the filesystem, but _not_ from the internal directory cache, as it would not be treated as a cache hit. A subsequent file entry within the `FOO` directory would then be placed in the target of the symbolic link, thinking that the directory had already been created. These issues were addressed in releases 4.4.16, 5.0.8 and 6.1.7. The v3 branch of node-tar has been deprecated and did not receive patches for these issues. If you are still using a v3 release we recommend you update to a more recent version of node-tar. If this is not possible, a workaround is available in the referenced GHSA-9r2w-394v-53qc.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-docs-12.22.7-4.22.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-docs-12.22.7-4.22.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-37701",
"url": "https://www.suse.com/security/cve/CVE-2021-37701"
},
{
"category": "external",
"summary": "SUSE Bug 1190057 for CVE-2021-37701",
"url": "https://bugzilla.suse.com/1190057"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-docs-12.22.7-4.22.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-docs-12.22.7-4.22.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 8.1,
"baseSeverity": "HIGH",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H",
"version": "3.1"
},
"products": [
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-docs-12.22.7-4.22.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-docs-12.22.7-4.22.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2021-12-06T13:43:50Z",
"details": "important"
}
],
"title": "CVE-2021-37701"
},
{
"cve": "CVE-2021-37712",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-37712"
}
],
"notes": [
{
"category": "general",
"text": "The npm package \"tar\" (aka node-tar) before versions 4.4.18, 5.0.10, and 6.1.9 has an arbitrary file creation/overwrite and arbitrary code execution vulnerability. node-tar aims to guarantee that any file whose location would be modified by a symbolic link is not extracted. This is, in part, achieved by ensuring that extracted directories are not symlinks. Additionally, in order to prevent unnecessary stat calls to determine whether a given path is a directory, paths are cached when directories are created. This logic was insufficient when extracting tar files that contained both a directory and a symlink with names containing unicode values that normalized to the same value. Additionally, on Windows systems, long path portions would resolve to the same file system entities as their 8.3 \"short path\" counterparts. A specially crafted tar archive could thus include a directory with one form of the path, followed by a symbolic link with a different string that resolves to the same file system entity, followed by a file using the first form. By first creating a directory, and then replacing that directory with a symlink that had a different apparent name that resolved to the same entry in the filesystem, it was thus possible to bypass node-tar symlink checks on directories, essentially allowing an untrusted tar file to symlink into an arbitrary location and subsequently extracting arbitrary files into that location, thus allowing arbitrary file creation and overwrite. These issues were addressed in releases 4.4.18, 5.0.10 and 6.1.9. The v3 branch of node-tar has been deprecated and did not receive patches for these issues. If you are still using a v3 release we recommend you update to a more recent version of node-tar. If this is not possible, a workaround is available in the referenced GHSA-qq89-hq3f-393p.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-docs-12.22.7-4.22.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-docs-12.22.7-4.22.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-37712",
"url": "https://www.suse.com/security/cve/CVE-2021-37712"
},
{
"category": "external",
"summary": "SUSE Bug 1190056 for CVE-2021-37712",
"url": "https://bugzilla.suse.com/1190056"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-docs-12.22.7-4.22.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-docs-12.22.7-4.22.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 8.1,
"baseSeverity": "HIGH",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H",
"version": "3.1"
},
"products": [
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-docs-12.22.7-4.22.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-docs-12.22.7-4.22.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2021-12-06T13:43:50Z",
"details": "important"
}
],
"title": "CVE-2021-37712"
},
{
"cve": "CVE-2021-37713",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-37713"
}
],
"notes": [
{
"category": "general",
"text": "The npm package \"tar\" (aka node-tar) before versions 4.4.18, 5.0.10, and 6.1.9 has an arbitrary file creation/overwrite and arbitrary code execution vulnerability. node-tar aims to guarantee that any file whose location would be outside of the extraction target directory is not extracted. This is, in part, accomplished by sanitizing absolute paths of entries within the archive, skipping archive entries that contain `..` path portions, and resolving the sanitized paths against the extraction target directory. This logic was insufficient on Windows systems when extracting tar files that contained a path that was not an absolute path, but specified a drive letter different from the extraction target, such as `C:some\\path`. If the drive letter does not match the extraction target, for example `D:\\extraction\\dir`, then the result of `path.resolve(extractionDirectory, entryPath)` would resolve against the current working directory on the `C:` drive, rather than the extraction target directory. Additionally, a `..` portion of the path could occur immediately after the drive letter, such as `C:../foo`, and was not properly sanitized by the logic that checked for `..` within the normalized and split portions of the path. This only affects users of `node-tar` on Windows systems. These issues were addressed in releases 4.4.18, 5.0.10 and 6.1.9. The v3 branch of node-tar has been deprecated and did not receive patches for these issues. If you are still using a v3 release we recommend you update to a more recent version of node-tar. There is no reasonable way to work around this issue without performing the same path normalization procedures that node-tar now does. Users are encouraged to upgrade to the latest patched versions of node-tar, rather than attempt to sanitize paths themselves.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-docs-12.22.7-4.22.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-docs-12.22.7-4.22.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-37713",
"url": "https://www.suse.com/security/cve/CVE-2021-37713"
},
{
"category": "external",
"summary": "SUSE Bug 1190055 for CVE-2021-37713",
"url": "https://bugzilla.suse.com/1190055"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-docs-12.22.7-4.22.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-docs-12.22.7-4.22.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 8.2,
"baseSeverity": "HIGH",
"vectorString": "CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N",
"version": "3.1"
},
"products": [
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-docs-12.22.7-4.22.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-docs-12.22.7-4.22.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2021-12-06T13:43:50Z",
"details": "important"
}
],
"title": "CVE-2021-37713"
},
{
"cve": "CVE-2021-39134",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-39134"
}
],
"notes": [
{
"category": "general",
"text": "`@npmcli/arborist`, the library that calculates dependency trees and manages the `node_modules` folder hierarchy for the npm command line interface, aims to guarantee that package dependency contracts will be met, and the extraction of package contents will always be performed into the expected folder. This is, in part, accomplished by resolving dependency specifiers defined in `package.json` manifests for dependencies with a specific name, and nesting folders to resolve conflicting dependencies. When multiple dependencies differ only in the case of their name, Arborist\u0027s internal data structure saw them as separate items that could coexist within the same level in the `node_modules` hierarchy. However, on case-insensitive file systems (such as macOS and Windows), this is not the case. Combined with a symlink dependency such as `file:/some/path`, this allowed an attacker to create a situation in which arbitrary contents could be written to any location on the filesystem. For example, a package `pwn-a` could define a dependency in their `package.json` file such as `\"foo\": \"file:/some/path\"`. Another package, `pwn-b` could define a dependency such as `FOO: \"file:foo.tgz\"`. On case-insensitive file systems, if `pwn-a` was installed, and then `pwn-b` was installed afterwards, the contents of `foo.tgz` would be written to `/some/path`, and any existing contents of `/some/path` would be removed. Anyone using npm v7.20.6 or earlier on a case-insensitive filesystem is potentially affected. This is patched in @npmcli/arborist 2.8.2 which is included in npm v7.20.7 and above.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-docs-12.22.7-4.22.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-docs-12.22.7-4.22.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-39134",
"url": "https://www.suse.com/security/cve/CVE-2021-39134"
},
{
"category": "external",
"summary": "SUSE Bug 1190054 for CVE-2021-39134",
"url": "https://bugzilla.suse.com/1190054"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-docs-12.22.7-4.22.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-docs-12.22.7-4.22.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 8.1,
"baseSeverity": "HIGH",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H",
"version": "3.1"
},
"products": [
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-docs-12.22.7-4.22.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-docs-12.22.7-4.22.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2021-12-06T13:43:50Z",
"details": "important"
}
],
"title": "CVE-2021-39134"
},
{
"cve": "CVE-2021-39135",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-39135"
}
],
"notes": [
{
"category": "general",
"text": "`@npmcli/arborist`, the library that calculates dependency trees and manages the node_modules folder hierarchy for the npm command line interface, aims to guarantee that package dependency contracts will be met, and the extraction of package contents will always be performed into the expected folder. This is accomplished by extracting package contents into a project\u0027s `node_modules` folder. If the `node_modules` folder of the root project or any of its dependencies is somehow replaced with a symbolic link, it could allow Arborist to write package dependencies to any arbitrary location on the file system. Note that symbolic links contained within package artifact contents are filtered out, so another means of creating a `node_modules` symbolic link would have to be employed. 1. A `preinstall` script could replace `node_modules` with a symlink. (This is prevented by using `--ignore-scripts`.) 2. An attacker could supply the target with a git repository, instructing them to run `npm install --ignore-scripts` in the root. This may be successful, because `npm install --ignore-scripts` is typically not capable of making changes outside of the project directory, so it may be deemed safe. This is patched in @npmcli/arborist 2.8.2 which is included in npm v7.20.7 and above. For more information including workarounds please see the referenced GHSA-gmw6-94gg-2rc2.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-docs-12.22.7-4.22.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-docs-12.22.7-4.22.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-39135",
"url": "https://www.suse.com/security/cve/CVE-2021-39135"
},
{
"category": "external",
"summary": "SUSE Bug 1190053 for CVE-2021-39135",
"url": "https://bugzilla.suse.com/1190053"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-docs-12.22.7-4.22.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-docs-12.22.7-4.22.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 8.1,
"baseSeverity": "HIGH",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H",
"version": "3.1"
},
"products": [
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-devel-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:nodejs12-docs-12.22.7-4.22.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP2:npm12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-devel-12.22.7-4.22.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:nodejs12-docs-12.22.7-4.22.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 15 SP3:npm12-12.22.7-4.22.1.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2021-12-06T13:43:50Z",
"details": "important"
}
],
"title": "CVE-2021-39135"
}
]
}
suse-su-2022:0101-1
Vulnerability from csaf_suse
Published
2022-01-18 08:35
Modified
2022-01-18 08:35
Summary
Security update for nodejs12
Notes
Title of the patch
Security update for nodejs12
Description of the patch
This update for nodejs12 fixes the following issues:
- CVE-2021-44531: Fixed improper handling of URI Subject Alternative Names (bsc#1194511).
- CVE-2021-44532: Fixed certificate Verification Bypass via String Injection (bsc#1194512).
- CVE-2021-44533: Fixed incorrect handling of certificate subject and issuer fields (bsc#1194513).
- CVE-2022-21824: Fixed prototype pollution via console.table properties (bsc#1194514).
- CVE-2021-22959: Fixed HTTP Request Smuggling due to spaced in headers(bsc#1191601).
- CVE-2021-22960: Fixed HTTP Request Smuggling when parsing the body (bsc#1191602).
- CVE-2021-37701: Fixed arbitrary file creation and overwrite vulnerability in nodejs-tar (bsc#1190057).
- CVE-2021-37712: Fixed arbitrary file creation and overwrite vulnerability in nodejs-tar (bsc#1190056).
- CVE-2021-37713: Fixed arbitrary file creation/overwrite and arbitrary code execution vulnerability in nodejs-tar (bsc#1190055).
- CVE-2021-39134: Fixed symlink following vulnerability in nodejs-arborist (bsc#1190054).
- CVE-2021-39135: Fixed symlink following vulnerability in nodejs-arborist (bsc#1190053).
Patchnames
SUSE-2022-101,SUSE-SLE-Module-Web-Scripting-12-2022-101
Terms of use
CSAF 2.0 data is provided by SUSE under the Creative Commons License 4.0 with Attribution (CC-BY-4.0).
{
"document": {
"aggregate_severity": {
"namespace": "https://www.suse.com/support/security/rating/",
"text": "important"
},
"category": "csaf_security_advisory",
"csaf_version": "2.0",
"distribution": {
"text": "Copyright 2024 SUSE LLC. All rights reserved.",
"tlp": {
"label": "WHITE",
"url": "https://www.first.org/tlp/"
}
},
"lang": "en",
"notes": [
{
"category": "summary",
"text": "Security update for nodejs12",
"title": "Title of the patch"
},
{
"category": "description",
"text": "This update for nodejs12 fixes the following issues:\n\n- CVE-2021-44531: Fixed improper handling of URI Subject Alternative Names (bsc#1194511).\n- CVE-2021-44532: Fixed certificate Verification Bypass via String Injection (bsc#1194512).\n- CVE-2021-44533: Fixed incorrect handling of certificate subject and issuer fields (bsc#1194513).\n- CVE-2022-21824: Fixed prototype pollution via console.table properties (bsc#1194514).\n- CVE-2021-22959: Fixed HTTP Request Smuggling due to spaced in headers(bsc#1191601).\n- CVE-2021-22960: Fixed HTTP Request Smuggling when parsing the body (bsc#1191602).\n- CVE-2021-37701: Fixed arbitrary file creation and overwrite vulnerability in nodejs-tar (bsc#1190057).\n- CVE-2021-37712: Fixed arbitrary file creation and overwrite vulnerability in nodejs-tar (bsc#1190056).\n- CVE-2021-37713: Fixed arbitrary file creation/overwrite and arbitrary code execution vulnerability in nodejs-tar (bsc#1190055).\n- CVE-2021-39134: Fixed symlink following vulnerability in nodejs-arborist (bsc#1190054).\n- CVE-2021-39135: Fixed symlink following vulnerability in nodejs-arborist (bsc#1190053).\n",
"title": "Description of the patch"
},
{
"category": "details",
"text": "SUSE-2022-101,SUSE-SLE-Module-Web-Scripting-12-2022-101",
"title": "Patchnames"
},
{
"category": "legal_disclaimer",
"text": "CSAF 2.0 data is provided by SUSE under the Creative Commons License 4.0 with Attribution (CC-BY-4.0).",
"title": "Terms of use"
}
],
"publisher": {
"category": "vendor",
"contact_details": "https://www.suse.com/support/security/contact/",
"name": "SUSE Product Security Team",
"namespace": "https://www.suse.com/"
},
"references": [
{
"category": "external",
"summary": "SUSE ratings",
"url": "https://www.suse.com/support/security/rating/"
},
{
"category": "self",
"summary": "URL of this CSAF notice",
"url": "https://ftp.suse.com/pub/projects/security/csaf/suse-su-2022_0101-1.json"
},
{
"category": "self",
"summary": "URL for SUSE-SU-2022:0101-1",
"url": "https://www.suse.com/support/update/announcement/2022/suse-su-20220101-1/"
},
{
"category": "self",
"summary": "E-Mail link for SUSE-SU-2022:0101-1",
"url": "https://lists.suse.com/pipermail/sle-security-updates/2022-January/010017.html"
},
{
"category": "self",
"summary": "SUSE Bug 1190053",
"url": "https://bugzilla.suse.com/1190053"
},
{
"category": "self",
"summary": "SUSE Bug 1190054",
"url": "https://bugzilla.suse.com/1190054"
},
{
"category": "self",
"summary": "SUSE Bug 1190055",
"url": "https://bugzilla.suse.com/1190055"
},
{
"category": "self",
"summary": "SUSE Bug 1190056",
"url": "https://bugzilla.suse.com/1190056"
},
{
"category": "self",
"summary": "SUSE Bug 1190057",
"url": "https://bugzilla.suse.com/1190057"
},
{
"category": "self",
"summary": "SUSE Bug 1191601",
"url": "https://bugzilla.suse.com/1191601"
},
{
"category": "self",
"summary": "SUSE Bug 1191602",
"url": "https://bugzilla.suse.com/1191602"
},
{
"category": "self",
"summary": "SUSE Bug 1194511",
"url": "https://bugzilla.suse.com/1194511"
},
{
"category": "self",
"summary": "SUSE Bug 1194512",
"url": "https://bugzilla.suse.com/1194512"
},
{
"category": "self",
"summary": "SUSE Bug 1194513",
"url": "https://bugzilla.suse.com/1194513"
},
{
"category": "self",
"summary": "SUSE Bug 1194514",
"url": "https://bugzilla.suse.com/1194514"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-22959 page",
"url": "https://www.suse.com/security/cve/CVE-2021-22959/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-22960 page",
"url": "https://www.suse.com/security/cve/CVE-2021-22960/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-37701 page",
"url": "https://www.suse.com/security/cve/CVE-2021-37701/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-37712 page",
"url": "https://www.suse.com/security/cve/CVE-2021-37712/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-37713 page",
"url": "https://www.suse.com/security/cve/CVE-2021-37713/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-39134 page",
"url": "https://www.suse.com/security/cve/CVE-2021-39134/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-39135 page",
"url": "https://www.suse.com/security/cve/CVE-2021-39135/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-44531 page",
"url": "https://www.suse.com/security/cve/CVE-2021-44531/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-44532 page",
"url": "https://www.suse.com/security/cve/CVE-2021-44532/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-44533 page",
"url": "https://www.suse.com/security/cve/CVE-2021-44533/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2022-21824 page",
"url": "https://www.suse.com/security/cve/CVE-2022-21824/"
}
],
"title": "Security update for nodejs12",
"tracking": {
"current_release_date": "2022-01-18T08:35:56Z",
"generator": {
"date": "2022-01-18T08:35:56Z",
"engine": {
"name": "cve-database.git:bin/generate-csaf.pl",
"version": "1"
}
},
"id": "SUSE-SU-2022:0101-1",
"initial_release_date": "2022-01-18T08:35:56Z",
"revision_history": [
{
"date": "2022-01-18T08:35:56Z",
"number": "1",
"summary": "Current version"
}
],
"status": "final",
"version": "1"
}
},
"product_tree": {
"branches": [
{
"branches": [
{
"branches": [
{
"category": "product_version",
"name": "nodejs12-12.22.9-1.38.1.aarch64",
"product": {
"name": "nodejs12-12.22.9-1.38.1.aarch64",
"product_id": "nodejs12-12.22.9-1.38.1.aarch64"
}
},
{
"category": "product_version",
"name": "nodejs12-devel-12.22.9-1.38.1.aarch64",
"product": {
"name": "nodejs12-devel-12.22.9-1.38.1.aarch64",
"product_id": "nodejs12-devel-12.22.9-1.38.1.aarch64"
}
},
{
"category": "product_version",
"name": "npm12-12.22.9-1.38.1.aarch64",
"product": {
"name": "npm12-12.22.9-1.38.1.aarch64",
"product_id": "npm12-12.22.9-1.38.1.aarch64"
}
}
],
"category": "architecture",
"name": "aarch64"
},
{
"branches": [
{
"category": "product_version",
"name": "nodejs12-12.22.9-1.38.1.i586",
"product": {
"name": "nodejs12-12.22.9-1.38.1.i586",
"product_id": "nodejs12-12.22.9-1.38.1.i586"
}
},
{
"category": "product_version",
"name": "nodejs12-devel-12.22.9-1.38.1.i586",
"product": {
"name": "nodejs12-devel-12.22.9-1.38.1.i586",
"product_id": "nodejs12-devel-12.22.9-1.38.1.i586"
}
},
{
"category": "product_version",
"name": "npm12-12.22.9-1.38.1.i586",
"product": {
"name": "npm12-12.22.9-1.38.1.i586",
"product_id": "npm12-12.22.9-1.38.1.i586"
}
}
],
"category": "architecture",
"name": "i586"
},
{
"branches": [
{
"category": "product_version",
"name": "nodejs12-docs-12.22.9-1.38.1.noarch",
"product": {
"name": "nodejs12-docs-12.22.9-1.38.1.noarch",
"product_id": "nodejs12-docs-12.22.9-1.38.1.noarch"
}
}
],
"category": "architecture",
"name": "noarch"
},
{
"branches": [
{
"category": "product_version",
"name": "nodejs12-12.22.9-1.38.1.ppc64le",
"product": {
"name": "nodejs12-12.22.9-1.38.1.ppc64le",
"product_id": "nodejs12-12.22.9-1.38.1.ppc64le"
}
},
{
"category": "product_version",
"name": "nodejs12-devel-12.22.9-1.38.1.ppc64le",
"product": {
"name": "nodejs12-devel-12.22.9-1.38.1.ppc64le",
"product_id": "nodejs12-devel-12.22.9-1.38.1.ppc64le"
}
},
{
"category": "product_version",
"name": "npm12-12.22.9-1.38.1.ppc64le",
"product": {
"name": "npm12-12.22.9-1.38.1.ppc64le",
"product_id": "npm12-12.22.9-1.38.1.ppc64le"
}
}
],
"category": "architecture",
"name": "ppc64le"
},
{
"branches": [
{
"category": "product_version",
"name": "nodejs12-12.22.9-1.38.1.s390x",
"product": {
"name": "nodejs12-12.22.9-1.38.1.s390x",
"product_id": "nodejs12-12.22.9-1.38.1.s390x"
}
},
{
"category": "product_version",
"name": "nodejs12-devel-12.22.9-1.38.1.s390x",
"product": {
"name": "nodejs12-devel-12.22.9-1.38.1.s390x",
"product_id": "nodejs12-devel-12.22.9-1.38.1.s390x"
}
},
{
"category": "product_version",
"name": "npm12-12.22.9-1.38.1.s390x",
"product": {
"name": "npm12-12.22.9-1.38.1.s390x",
"product_id": "npm12-12.22.9-1.38.1.s390x"
}
}
],
"category": "architecture",
"name": "s390x"
},
{
"branches": [
{
"category": "product_version",
"name": "nodejs12-12.22.9-1.38.1.x86_64",
"product": {
"name": "nodejs12-12.22.9-1.38.1.x86_64",
"product_id": "nodejs12-12.22.9-1.38.1.x86_64"
}
},
{
"category": "product_version",
"name": "nodejs12-devel-12.22.9-1.38.1.x86_64",
"product": {
"name": "nodejs12-devel-12.22.9-1.38.1.x86_64",
"product_id": "nodejs12-devel-12.22.9-1.38.1.x86_64"
}
},
{
"category": "product_version",
"name": "npm12-12.22.9-1.38.1.x86_64",
"product": {
"name": "npm12-12.22.9-1.38.1.x86_64",
"product_id": "npm12-12.22.9-1.38.1.x86_64"
}
}
],
"category": "architecture",
"name": "x86_64"
},
{
"branches": [
{
"category": "product_name",
"name": "SUSE Linux Enterprise Module for Web and Scripting 12",
"product": {
"name": "SUSE Linux Enterprise Module for Web and Scripting 12",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 12",
"product_identification_helper": {
"cpe": "cpe:/o:suse:sle-module-web-scripting:12"
}
}
}
],
"category": "product_family",
"name": "SUSE Linux Enterprise"
}
],
"category": "vendor",
"name": "SUSE"
}
],
"relationships": [
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs12-12.22.9-1.38.1.aarch64 as component of SUSE Linux Enterprise Module for Web and Scripting 12",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.aarch64"
},
"product_reference": "nodejs12-12.22.9-1.38.1.aarch64",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 12"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs12-12.22.9-1.38.1.ppc64le as component of SUSE Linux Enterprise Module for Web and Scripting 12",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.ppc64le"
},
"product_reference": "nodejs12-12.22.9-1.38.1.ppc64le",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 12"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs12-12.22.9-1.38.1.s390x as component of SUSE Linux Enterprise Module for Web and Scripting 12",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.s390x"
},
"product_reference": "nodejs12-12.22.9-1.38.1.s390x",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 12"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs12-12.22.9-1.38.1.x86_64 as component of SUSE Linux Enterprise Module for Web and Scripting 12",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.x86_64"
},
"product_reference": "nodejs12-12.22.9-1.38.1.x86_64",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 12"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs12-devel-12.22.9-1.38.1.aarch64 as component of SUSE Linux Enterprise Module for Web and Scripting 12",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.aarch64"
},
"product_reference": "nodejs12-devel-12.22.9-1.38.1.aarch64",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 12"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs12-devel-12.22.9-1.38.1.ppc64le as component of SUSE Linux Enterprise Module for Web and Scripting 12",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.ppc64le"
},
"product_reference": "nodejs12-devel-12.22.9-1.38.1.ppc64le",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 12"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs12-devel-12.22.9-1.38.1.s390x as component of SUSE Linux Enterprise Module for Web and Scripting 12",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.s390x"
},
"product_reference": "nodejs12-devel-12.22.9-1.38.1.s390x",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 12"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs12-devel-12.22.9-1.38.1.x86_64 as component of SUSE Linux Enterprise Module for Web and Scripting 12",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.x86_64"
},
"product_reference": "nodejs12-devel-12.22.9-1.38.1.x86_64",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 12"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs12-docs-12.22.9-1.38.1.noarch as component of SUSE Linux Enterprise Module for Web and Scripting 12",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-docs-12.22.9-1.38.1.noarch"
},
"product_reference": "nodejs12-docs-12.22.9-1.38.1.noarch",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 12"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "npm12-12.22.9-1.38.1.aarch64 as component of SUSE Linux Enterprise Module for Web and Scripting 12",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.aarch64"
},
"product_reference": "npm12-12.22.9-1.38.1.aarch64",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 12"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "npm12-12.22.9-1.38.1.ppc64le as component of SUSE Linux Enterprise Module for Web and Scripting 12",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.ppc64le"
},
"product_reference": "npm12-12.22.9-1.38.1.ppc64le",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 12"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "npm12-12.22.9-1.38.1.s390x as component of SUSE Linux Enterprise Module for Web and Scripting 12",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.s390x"
},
"product_reference": "npm12-12.22.9-1.38.1.s390x",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 12"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "npm12-12.22.9-1.38.1.x86_64 as component of SUSE Linux Enterprise Module for Web and Scripting 12",
"product_id": "SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.x86_64"
},
"product_reference": "npm12-12.22.9-1.38.1.x86_64",
"relates_to_product_reference": "SUSE Linux Enterprise Module for Web and Scripting 12"
}
]
},
"vulnerabilities": [
{
"cve": "CVE-2021-22959",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-22959"
}
],
"notes": [
{
"category": "general",
"text": "The parser in accepts requests with a space (SP) right after the header name before the colon. This can lead to HTTP Request Smuggling (HRS) in llhttp \u003c v2.1.4 and \u003c v6.0.6.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-docs-12.22.9-1.38.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-22959",
"url": "https://www.suse.com/security/cve/CVE-2021-22959"
},
{
"category": "external",
"summary": "SUSE Bug 1191601 for CVE-2021-22959",
"url": "https://bugzilla.suse.com/1191601"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-docs-12.22.9-1.38.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 6.1,
"baseSeverity": "MEDIUM",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N",
"version": "3.1"
},
"products": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-docs-12.22.9-1.38.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2022-01-18T08:35:56Z",
"details": "moderate"
}
],
"title": "CVE-2021-22959"
},
{
"cve": "CVE-2021-22960",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-22960"
}
],
"notes": [
{
"category": "general",
"text": "The parse function in llhttp \u003c 2.1.4 and \u003c 6.0.6. ignores chunk extensions when parsing the body of chunked requests. This leads to HTTP Request Smuggling (HRS) under certain conditions.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-docs-12.22.9-1.38.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-22960",
"url": "https://www.suse.com/security/cve/CVE-2021-22960"
},
{
"category": "external",
"summary": "SUSE Bug 1191602 for CVE-2021-22960",
"url": "https://bugzilla.suse.com/1191602"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-docs-12.22.9-1.38.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 6.1,
"baseSeverity": "MEDIUM",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N",
"version": "3.1"
},
"products": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-docs-12.22.9-1.38.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2022-01-18T08:35:56Z",
"details": "moderate"
}
],
"title": "CVE-2021-22960"
},
{
"cve": "CVE-2021-37701",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-37701"
}
],
"notes": [
{
"category": "general",
"text": "The npm package \"tar\" (aka node-tar) before versions 4.4.16, 5.0.8, and 6.1.7 has an arbitrary file creation/overwrite and arbitrary code execution vulnerability. node-tar aims to guarantee that any file whose location would be modified by a symbolic link is not extracted. This is, in part, achieved by ensuring that extracted directories are not symlinks. Additionally, in order to prevent unnecessary stat calls to determine whether a given path is a directory, paths are cached when directories are created. This logic was insufficient when extracting tar files that contained both a directory and a symlink with the same name as the directory, where the symlink and directory names in the archive entry used backslashes as a path separator on posix systems. The cache checking logic used both `\\` and `/` characters as path separators, however `\\` is a valid filename character on posix systems. By first creating a directory, and then replacing that directory with a symlink, it was thus possible to bypass node-tar symlink checks on directories, essentially allowing an untrusted tar file to symlink into an arbitrary location and subsequently extracting arbitrary files into that location, thus allowing arbitrary file creation and overwrite. Additionally, a similar confusion could arise on case-insensitive filesystems. If a tar archive contained a directory at `FOO`, followed by a symbolic link named `foo`, then on case-insensitive file systems, the creation of the symbolic link would remove the directory from the filesystem, but _not_ from the internal directory cache, as it would not be treated as a cache hit. A subsequent file entry within the `FOO` directory would then be placed in the target of the symbolic link, thinking that the directory had already been created. These issues were addressed in releases 4.4.16, 5.0.8 and 6.1.7. The v3 branch of node-tar has been deprecated and did not receive patches for these issues. If you are still using a v3 release we recommend you update to a more recent version of node-tar. If this is not possible, a workaround is available in the referenced GHSA-9r2w-394v-53qc.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-docs-12.22.9-1.38.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-37701",
"url": "https://www.suse.com/security/cve/CVE-2021-37701"
},
{
"category": "external",
"summary": "SUSE Bug 1190057 for CVE-2021-37701",
"url": "https://bugzilla.suse.com/1190057"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-docs-12.22.9-1.38.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 8.1,
"baseSeverity": "HIGH",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H",
"version": "3.1"
},
"products": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-docs-12.22.9-1.38.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2022-01-18T08:35:56Z",
"details": "important"
}
],
"title": "CVE-2021-37701"
},
{
"cve": "CVE-2021-37712",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-37712"
}
],
"notes": [
{
"category": "general",
"text": "The npm package \"tar\" (aka node-tar) before versions 4.4.18, 5.0.10, and 6.1.9 has an arbitrary file creation/overwrite and arbitrary code execution vulnerability. node-tar aims to guarantee that any file whose location would be modified by a symbolic link is not extracted. This is, in part, achieved by ensuring that extracted directories are not symlinks. Additionally, in order to prevent unnecessary stat calls to determine whether a given path is a directory, paths are cached when directories are created. This logic was insufficient when extracting tar files that contained both a directory and a symlink with names containing unicode values that normalized to the same value. Additionally, on Windows systems, long path portions would resolve to the same file system entities as their 8.3 \"short path\" counterparts. A specially crafted tar archive could thus include a directory with one form of the path, followed by a symbolic link with a different string that resolves to the same file system entity, followed by a file using the first form. By first creating a directory, and then replacing that directory with a symlink that had a different apparent name that resolved to the same entry in the filesystem, it was thus possible to bypass node-tar symlink checks on directories, essentially allowing an untrusted tar file to symlink into an arbitrary location and subsequently extracting arbitrary files into that location, thus allowing arbitrary file creation and overwrite. These issues were addressed in releases 4.4.18, 5.0.10 and 6.1.9. The v3 branch of node-tar has been deprecated and did not receive patches for these issues. If you are still using a v3 release we recommend you update to a more recent version of node-tar. If this is not possible, a workaround is available in the referenced GHSA-qq89-hq3f-393p.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-docs-12.22.9-1.38.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-37712",
"url": "https://www.suse.com/security/cve/CVE-2021-37712"
},
{
"category": "external",
"summary": "SUSE Bug 1190056 for CVE-2021-37712",
"url": "https://bugzilla.suse.com/1190056"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-docs-12.22.9-1.38.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 8.1,
"baseSeverity": "HIGH",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H",
"version": "3.1"
},
"products": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-docs-12.22.9-1.38.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2022-01-18T08:35:56Z",
"details": "important"
}
],
"title": "CVE-2021-37712"
},
{
"cve": "CVE-2021-37713",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-37713"
}
],
"notes": [
{
"category": "general",
"text": "The npm package \"tar\" (aka node-tar) before versions 4.4.18, 5.0.10, and 6.1.9 has an arbitrary file creation/overwrite and arbitrary code execution vulnerability. node-tar aims to guarantee that any file whose location would be outside of the extraction target directory is not extracted. This is, in part, accomplished by sanitizing absolute paths of entries within the archive, skipping archive entries that contain `..` path portions, and resolving the sanitized paths against the extraction target directory. This logic was insufficient on Windows systems when extracting tar files that contained a path that was not an absolute path, but specified a drive letter different from the extraction target, such as `C:some\\path`. If the drive letter does not match the extraction target, for example `D:\\extraction\\dir`, then the result of `path.resolve(extractionDirectory, entryPath)` would resolve against the current working directory on the `C:` drive, rather than the extraction target directory. Additionally, a `..` portion of the path could occur immediately after the drive letter, such as `C:../foo`, and was not properly sanitized by the logic that checked for `..` within the normalized and split portions of the path. This only affects users of `node-tar` on Windows systems. These issues were addressed in releases 4.4.18, 5.0.10 and 6.1.9. The v3 branch of node-tar has been deprecated and did not receive patches for these issues. If you are still using a v3 release we recommend you update to a more recent version of node-tar. There is no reasonable way to work around this issue without performing the same path normalization procedures that node-tar now does. Users are encouraged to upgrade to the latest patched versions of node-tar, rather than attempt to sanitize paths themselves.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-docs-12.22.9-1.38.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-37713",
"url": "https://www.suse.com/security/cve/CVE-2021-37713"
},
{
"category": "external",
"summary": "SUSE Bug 1190055 for CVE-2021-37713",
"url": "https://bugzilla.suse.com/1190055"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-docs-12.22.9-1.38.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 8.2,
"baseSeverity": "HIGH",
"vectorString": "CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N",
"version": "3.1"
},
"products": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-docs-12.22.9-1.38.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2022-01-18T08:35:56Z",
"details": "important"
}
],
"title": "CVE-2021-37713"
},
{
"cve": "CVE-2021-39134",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-39134"
}
],
"notes": [
{
"category": "general",
"text": "`@npmcli/arborist`, the library that calculates dependency trees and manages the `node_modules` folder hierarchy for the npm command line interface, aims to guarantee that package dependency contracts will be met, and the extraction of package contents will always be performed into the expected folder. This is, in part, accomplished by resolving dependency specifiers defined in `package.json` manifests for dependencies with a specific name, and nesting folders to resolve conflicting dependencies. When multiple dependencies differ only in the case of their name, Arborist\u0027s internal data structure saw them as separate items that could coexist within the same level in the `node_modules` hierarchy. However, on case-insensitive file systems (such as macOS and Windows), this is not the case. Combined with a symlink dependency such as `file:/some/path`, this allowed an attacker to create a situation in which arbitrary contents could be written to any location on the filesystem. For example, a package `pwn-a` could define a dependency in their `package.json` file such as `\"foo\": \"file:/some/path\"`. Another package, `pwn-b` could define a dependency such as `FOO: \"file:foo.tgz\"`. On case-insensitive file systems, if `pwn-a` was installed, and then `pwn-b` was installed afterwards, the contents of `foo.tgz` would be written to `/some/path`, and any existing contents of `/some/path` would be removed. Anyone using npm v7.20.6 or earlier on a case-insensitive filesystem is potentially affected. This is patched in @npmcli/arborist 2.8.2 which is included in npm v7.20.7 and above.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-docs-12.22.9-1.38.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-39134",
"url": "https://www.suse.com/security/cve/CVE-2021-39134"
},
{
"category": "external",
"summary": "SUSE Bug 1190054 for CVE-2021-39134",
"url": "https://bugzilla.suse.com/1190054"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-docs-12.22.9-1.38.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 8.1,
"baseSeverity": "HIGH",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H",
"version": "3.1"
},
"products": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-docs-12.22.9-1.38.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2022-01-18T08:35:56Z",
"details": "important"
}
],
"title": "CVE-2021-39134"
},
{
"cve": "CVE-2021-39135",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-39135"
}
],
"notes": [
{
"category": "general",
"text": "`@npmcli/arborist`, the library that calculates dependency trees and manages the node_modules folder hierarchy for the npm command line interface, aims to guarantee that package dependency contracts will be met, and the extraction of package contents will always be performed into the expected folder. This is accomplished by extracting package contents into a project\u0027s `node_modules` folder. If the `node_modules` folder of the root project or any of its dependencies is somehow replaced with a symbolic link, it could allow Arborist to write package dependencies to any arbitrary location on the file system. Note that symbolic links contained within package artifact contents are filtered out, so another means of creating a `node_modules` symbolic link would have to be employed. 1. A `preinstall` script could replace `node_modules` with a symlink. (This is prevented by using `--ignore-scripts`.) 2. An attacker could supply the target with a git repository, instructing them to run `npm install --ignore-scripts` in the root. This may be successful, because `npm install --ignore-scripts` is typically not capable of making changes outside of the project directory, so it may be deemed safe. This is patched in @npmcli/arborist 2.8.2 which is included in npm v7.20.7 and above. For more information including workarounds please see the referenced GHSA-gmw6-94gg-2rc2.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-docs-12.22.9-1.38.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-39135",
"url": "https://www.suse.com/security/cve/CVE-2021-39135"
},
{
"category": "external",
"summary": "SUSE Bug 1190053 for CVE-2021-39135",
"url": "https://bugzilla.suse.com/1190053"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-docs-12.22.9-1.38.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 8.1,
"baseSeverity": "HIGH",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H",
"version": "3.1"
},
"products": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-docs-12.22.9-1.38.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2022-01-18T08:35:56Z",
"details": "important"
}
],
"title": "CVE-2021-39135"
},
{
"cve": "CVE-2021-44531",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-44531"
}
],
"notes": [
{
"category": "general",
"text": "Accepting arbitrary Subject Alternative Name (SAN) types, unless a PKI is specifically defined to use a particular SAN type, can result in bypassing name-constrained intermediates. Node.js \u003c 12.22.9, \u003c 14.18.3, \u003c 16.13.2, and \u003c 17.3.1 was accepting URI SAN types, which PKIs are often not defined to use. Additionally, when a protocol allows URI SANs, Node.js did not match the URI correctly.Versions of Node.js with the fix for this disable the URI SAN type when checking a certificate against a hostname. This behavior can be reverted through the --security-revert command-line option.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-docs-12.22.9-1.38.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-44531",
"url": "https://www.suse.com/security/cve/CVE-2021-44531"
},
{
"category": "external",
"summary": "SUSE Bug 1194511 for CVE-2021-44531",
"url": "https://bugzilla.suse.com/1194511"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-docs-12.22.9-1.38.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 5.9,
"baseSeverity": "MEDIUM",
"vectorString": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N",
"version": "3.1"
},
"products": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-docs-12.22.9-1.38.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2022-01-18T08:35:56Z",
"details": "moderate"
}
],
"title": "CVE-2021-44531"
},
{
"cve": "CVE-2021-44532",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-44532"
}
],
"notes": [
{
"category": "general",
"text": "Node.js \u003c 12.22.9, \u003c 14.18.3, \u003c 16.13.2, and \u003c 17.3.1 converts SANs (Subject Alternative Names) to a string format. It uses this string to check peer certificates against hostnames when validating connections. The string format was subject to an injection vulnerability when name constraints were used within a certificate chain, allowing the bypass of these name constraints.Versions of Node.js with the fix for this escape SANs containing the problematic characters in order to prevent the injection. This behavior can be reverted through the --security-revert command-line option.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-docs-12.22.9-1.38.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-44532",
"url": "https://www.suse.com/security/cve/CVE-2021-44532"
},
{
"category": "external",
"summary": "SUSE Bug 1194512 for CVE-2021-44532",
"url": "https://bugzilla.suse.com/1194512"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-docs-12.22.9-1.38.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 5.9,
"baseSeverity": "MEDIUM",
"vectorString": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N",
"version": "3.1"
},
"products": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-docs-12.22.9-1.38.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2022-01-18T08:35:56Z",
"details": "moderate"
}
],
"title": "CVE-2021-44532"
},
{
"cve": "CVE-2021-44533",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-44533"
}
],
"notes": [
{
"category": "general",
"text": "Node.js \u003c 12.22.9, \u003c 14.18.3, \u003c 16.13.2, and \u003c 17.3.1 did not handle multi-value Relative Distinguished Names correctly. Attackers could craft certificate subjects containing a single-value Relative Distinguished Name that would be interpreted as a multi-value Relative Distinguished Name, for example, in order to inject a Common Name that would allow bypassing the certificate subject verification.Affected versions of Node.js that do not accept multi-value Relative Distinguished Names and are thus not vulnerable to such attacks themselves. However, third-party code that uses node\u0027s ambiguous presentation of certificate subjects may be vulnerable.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-docs-12.22.9-1.38.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-44533",
"url": "https://www.suse.com/security/cve/CVE-2021-44533"
},
{
"category": "external",
"summary": "SUSE Bug 1194513 for CVE-2021-44533",
"url": "https://bugzilla.suse.com/1194513"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-docs-12.22.9-1.38.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 5.9,
"baseSeverity": "MEDIUM",
"vectorString": "CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N",
"version": "3.1"
},
"products": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-docs-12.22.9-1.38.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2022-01-18T08:35:56Z",
"details": "moderate"
}
],
"title": "CVE-2021-44533"
},
{
"cve": "CVE-2022-21824",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2022-21824"
}
],
"notes": [
{
"category": "general",
"text": "Due to the formatting logic of the \"console.table()\" function it was not safe to allow user controlled input to be passed to the \"properties\" parameter while simultaneously passing a plain object with at least one property as the first parameter, which could be \"__proto__\". The prototype pollution has very limited control, in that it only allows an empty string to be assigned to numerical keys of the object prototype.Node.js \u003e= 12.22.9, \u003e= 14.18.3, \u003e= 16.13.2, and \u003e= 17.3.1 use a null protoype for the object these properties are being assigned to.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-docs-12.22.9-1.38.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2022-21824",
"url": "https://www.suse.com/security/cve/CVE-2022-21824"
},
{
"category": "external",
"summary": "SUSE Bug 1194514 for CVE-2022-21824",
"url": "https://bugzilla.suse.com/1194514"
},
{
"category": "external",
"summary": "SUSE Bug 1202688 for CVE-2022-21824",
"url": "https://bugzilla.suse.com/1202688"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-docs-12.22.9-1.38.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 4,
"baseSeverity": "MEDIUM",
"vectorString": "CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:L",
"version": "3.1"
},
"products": [
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-devel-12.22.9-1.38.1.x86_64",
"SUSE Linux Enterprise Module for Web and Scripting 12:nodejs12-docs-12.22.9-1.38.1.noarch",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.aarch64",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.ppc64le",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.s390x",
"SUSE Linux Enterprise Module for Web and Scripting 12:npm12-12.22.9-1.38.1.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2022-01-18T08:35:56Z",
"details": "moderate"
}
],
"title": "CVE-2022-21824"
}
]
}
opensuse-su-2021:1574-1
Vulnerability from csaf_opensuse
Published
2021-12-12 01:19
Modified
2021-12-12 01:19
Summary
Security update for nodejs12
Notes
Title of the patch
Security update for nodejs12
Description of the patch
This update for nodejs12 fixes the following issues:
- CVE-2021-22959: Fixed HTTP Request Smuggling due to spaced in headers (bsc#1191601).
- CVE-2021-22960: Fixed HTTP Request Smuggling when parsing the body (bsc#1191602).
- CVE-2021-37701: Fixed arbitrary file creation and overwrite in nodejs-tar (bsc#1190057).
- CVE-2021-37712: Fixed arbitrary file creation and overwrite in nodejs-tar (bsc#1190056).
- CVE-2021-37713: Fixed arbitrary code execution and file creation and overwrite in nodejs-tar (bsc#1190055).
- CVE-2021-39134: Fixed symling following vulnerability in nodejs-arborist (bsc#1190054).
- CVE-2021-39135: Fixed symling following vulnerability in nodejs-arborist (bsc#1190053).
This update was imported from the SUSE:SLE-15-SP2:Update update project.
Patchnames
openSUSE-2021-1574
Terms of use
CSAF 2.0 data is provided by SUSE under the Creative Commons License 4.0 with Attribution (CC-BY-4.0).
{
"document": {
"aggregate_severity": {
"namespace": "https://www.suse.com/support/security/rating/",
"text": "important"
},
"category": "csaf_security_advisory",
"csaf_version": "2.0",
"distribution": {
"text": "Copyright 2024 SUSE LLC. All rights reserved.",
"tlp": {
"label": "WHITE",
"url": "https://www.first.org/tlp/"
}
},
"lang": "en",
"notes": [
{
"category": "summary",
"text": "Security update for nodejs12",
"title": "Title of the patch"
},
{
"category": "description",
"text": "This update for nodejs12 fixes the following issues:\n\n- CVE-2021-22959: Fixed HTTP Request Smuggling due to spaced in headers (bsc#1191601).\n- CVE-2021-22960: Fixed HTTP Request Smuggling when parsing the body (bsc#1191602).\n- CVE-2021-37701: Fixed arbitrary file creation and overwrite in nodejs-tar (bsc#1190057). \n- CVE-2021-37712: Fixed arbitrary file creation and overwrite in nodejs-tar (bsc#1190056). \n- CVE-2021-37713: Fixed arbitrary code execution and file creation and overwrite in nodejs-tar (bsc#1190055). \n- CVE-2021-39134: Fixed symling following vulnerability in nodejs-arborist (bsc#1190054). \n- CVE-2021-39135: Fixed symling following vulnerability in nodejs-arborist (bsc#1190053). \n\nThis update was imported from the SUSE:SLE-15-SP2:Update update project.",
"title": "Description of the patch"
},
{
"category": "details",
"text": "openSUSE-2021-1574",
"title": "Patchnames"
},
{
"category": "legal_disclaimer",
"text": "CSAF 2.0 data is provided by SUSE under the Creative Commons License 4.0 with Attribution (CC-BY-4.0).",
"title": "Terms of use"
}
],
"publisher": {
"category": "vendor",
"contact_details": "https://www.suse.com/support/security/contact/",
"name": "SUSE Product Security Team",
"namespace": "https://www.suse.com/"
},
"references": [
{
"category": "external",
"summary": "SUSE ratings",
"url": "https://www.suse.com/support/security/rating/"
},
{
"category": "self",
"summary": "URL of this CSAF notice",
"url": "https://ftp.suse.com/pub/projects/security/csaf/opensuse-su-2021_1574-1.json"
},
{
"category": "self",
"summary": "URL for openSUSE-SU-2021:1574-1",
"url": "https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/thread/OZ6MU5ASKOGKZBGVKFFXVB64PMZRVEPX/"
},
{
"category": "self",
"summary": "E-Mail link for openSUSE-SU-2021:1574-1",
"url": "https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/thread/OZ6MU5ASKOGKZBGVKFFXVB64PMZRVEPX/"
},
{
"category": "self",
"summary": "SUSE Bug 1190053",
"url": "https://bugzilla.suse.com/1190053"
},
{
"category": "self",
"summary": "SUSE Bug 1190054",
"url": "https://bugzilla.suse.com/1190054"
},
{
"category": "self",
"summary": "SUSE Bug 1190055",
"url": "https://bugzilla.suse.com/1190055"
},
{
"category": "self",
"summary": "SUSE Bug 1190056",
"url": "https://bugzilla.suse.com/1190056"
},
{
"category": "self",
"summary": "SUSE Bug 1190057",
"url": "https://bugzilla.suse.com/1190057"
},
{
"category": "self",
"summary": "SUSE Bug 1191601",
"url": "https://bugzilla.suse.com/1191601"
},
{
"category": "self",
"summary": "SUSE Bug 1191602",
"url": "https://bugzilla.suse.com/1191602"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-22959 page",
"url": "https://www.suse.com/security/cve/CVE-2021-22959/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-22960 page",
"url": "https://www.suse.com/security/cve/CVE-2021-22960/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-37701 page",
"url": "https://www.suse.com/security/cve/CVE-2021-37701/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-37712 page",
"url": "https://www.suse.com/security/cve/CVE-2021-37712/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-37713 page",
"url": "https://www.suse.com/security/cve/CVE-2021-37713/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-39134 page",
"url": "https://www.suse.com/security/cve/CVE-2021-39134/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-39135 page",
"url": "https://www.suse.com/security/cve/CVE-2021-39135/"
}
],
"title": "Security update for nodejs12",
"tracking": {
"current_release_date": "2021-12-12T01:19:11Z",
"generator": {
"date": "2021-12-12T01:19:11Z",
"engine": {
"name": "cve-database.git:bin/generate-csaf.pl",
"version": "1"
}
},
"id": "openSUSE-SU-2021:1574-1",
"initial_release_date": "2021-12-12T01:19:11Z",
"revision_history": [
{
"date": "2021-12-12T01:19:11Z",
"number": "1",
"summary": "Current version"
}
],
"status": "final",
"version": "1"
}
},
"product_tree": {
"branches": [
{
"branches": [
{
"branches": [
{
"category": "product_version",
"name": "nodejs12-12.22.7-lp152.3.21.1.i586",
"product": {
"name": "nodejs12-12.22.7-lp152.3.21.1.i586",
"product_id": "nodejs12-12.22.7-lp152.3.21.1.i586"
}
},
{
"category": "product_version",
"name": "nodejs12-devel-12.22.7-lp152.3.21.1.i586",
"product": {
"name": "nodejs12-devel-12.22.7-lp152.3.21.1.i586",
"product_id": "nodejs12-devel-12.22.7-lp152.3.21.1.i586"
}
},
{
"category": "product_version",
"name": "npm12-12.22.7-lp152.3.21.1.i586",
"product": {
"name": "npm12-12.22.7-lp152.3.21.1.i586",
"product_id": "npm12-12.22.7-lp152.3.21.1.i586"
}
}
],
"category": "architecture",
"name": "i586"
},
{
"branches": [
{
"category": "product_version",
"name": "nodejs12-docs-12.22.7-lp152.3.21.1.noarch",
"product": {
"name": "nodejs12-docs-12.22.7-lp152.3.21.1.noarch",
"product_id": "nodejs12-docs-12.22.7-lp152.3.21.1.noarch"
}
}
],
"category": "architecture",
"name": "noarch"
},
{
"branches": [
{
"category": "product_version",
"name": "nodejs12-12.22.7-lp152.3.21.1.x86_64",
"product": {
"name": "nodejs12-12.22.7-lp152.3.21.1.x86_64",
"product_id": "nodejs12-12.22.7-lp152.3.21.1.x86_64"
}
},
{
"category": "product_version",
"name": "nodejs12-devel-12.22.7-lp152.3.21.1.x86_64",
"product": {
"name": "nodejs12-devel-12.22.7-lp152.3.21.1.x86_64",
"product_id": "nodejs12-devel-12.22.7-lp152.3.21.1.x86_64"
}
},
{
"category": "product_version",
"name": "npm12-12.22.7-lp152.3.21.1.x86_64",
"product": {
"name": "npm12-12.22.7-lp152.3.21.1.x86_64",
"product_id": "npm12-12.22.7-lp152.3.21.1.x86_64"
}
}
],
"category": "architecture",
"name": "x86_64"
},
{
"branches": [
{
"category": "product_name",
"name": "openSUSE Leap 15.2",
"product": {
"name": "openSUSE Leap 15.2",
"product_id": "openSUSE Leap 15.2",
"product_identification_helper": {
"cpe": "cpe:/o:opensuse:leap:15.2"
}
}
}
],
"category": "product_family",
"name": "SUSE Linux Enterprise"
}
],
"category": "vendor",
"name": "SUSE"
}
],
"relationships": [
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs12-12.22.7-lp152.3.21.1.i586 as component of openSUSE Leap 15.2",
"product_id": "openSUSE Leap 15.2:nodejs12-12.22.7-lp152.3.21.1.i586"
},
"product_reference": "nodejs12-12.22.7-lp152.3.21.1.i586",
"relates_to_product_reference": "openSUSE Leap 15.2"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs12-12.22.7-lp152.3.21.1.x86_64 as component of openSUSE Leap 15.2",
"product_id": "openSUSE Leap 15.2:nodejs12-12.22.7-lp152.3.21.1.x86_64"
},
"product_reference": "nodejs12-12.22.7-lp152.3.21.1.x86_64",
"relates_to_product_reference": "openSUSE Leap 15.2"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs12-devel-12.22.7-lp152.3.21.1.i586 as component of openSUSE Leap 15.2",
"product_id": "openSUSE Leap 15.2:nodejs12-devel-12.22.7-lp152.3.21.1.i586"
},
"product_reference": "nodejs12-devel-12.22.7-lp152.3.21.1.i586",
"relates_to_product_reference": "openSUSE Leap 15.2"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs12-devel-12.22.7-lp152.3.21.1.x86_64 as component of openSUSE Leap 15.2",
"product_id": "openSUSE Leap 15.2:nodejs12-devel-12.22.7-lp152.3.21.1.x86_64"
},
"product_reference": "nodejs12-devel-12.22.7-lp152.3.21.1.x86_64",
"relates_to_product_reference": "openSUSE Leap 15.2"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs12-docs-12.22.7-lp152.3.21.1.noarch as component of openSUSE Leap 15.2",
"product_id": "openSUSE Leap 15.2:nodejs12-docs-12.22.7-lp152.3.21.1.noarch"
},
"product_reference": "nodejs12-docs-12.22.7-lp152.3.21.1.noarch",
"relates_to_product_reference": "openSUSE Leap 15.2"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "npm12-12.22.7-lp152.3.21.1.i586 as component of openSUSE Leap 15.2",
"product_id": "openSUSE Leap 15.2:npm12-12.22.7-lp152.3.21.1.i586"
},
"product_reference": "npm12-12.22.7-lp152.3.21.1.i586",
"relates_to_product_reference": "openSUSE Leap 15.2"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "npm12-12.22.7-lp152.3.21.1.x86_64 as component of openSUSE Leap 15.2",
"product_id": "openSUSE Leap 15.2:npm12-12.22.7-lp152.3.21.1.x86_64"
},
"product_reference": "npm12-12.22.7-lp152.3.21.1.x86_64",
"relates_to_product_reference": "openSUSE Leap 15.2"
}
]
},
"vulnerabilities": [
{
"cve": "CVE-2021-22959",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-22959"
}
],
"notes": [
{
"category": "general",
"text": "The parser in accepts requests with a space (SP) right after the header name before the colon. This can lead to HTTP Request Smuggling (HRS) in llhttp \u003c v2.1.4 and \u003c v6.0.6.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"openSUSE Leap 15.2:nodejs12-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:nodejs12-12.22.7-lp152.3.21.1.x86_64",
"openSUSE Leap 15.2:nodejs12-devel-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:nodejs12-devel-12.22.7-lp152.3.21.1.x86_64",
"openSUSE Leap 15.2:nodejs12-docs-12.22.7-lp152.3.21.1.noarch",
"openSUSE Leap 15.2:npm12-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:npm12-12.22.7-lp152.3.21.1.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-22959",
"url": "https://www.suse.com/security/cve/CVE-2021-22959"
},
{
"category": "external",
"summary": "SUSE Bug 1191601 for CVE-2021-22959",
"url": "https://bugzilla.suse.com/1191601"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"openSUSE Leap 15.2:nodejs12-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:nodejs12-12.22.7-lp152.3.21.1.x86_64",
"openSUSE Leap 15.2:nodejs12-devel-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:nodejs12-devel-12.22.7-lp152.3.21.1.x86_64",
"openSUSE Leap 15.2:nodejs12-docs-12.22.7-lp152.3.21.1.noarch",
"openSUSE Leap 15.2:npm12-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:npm12-12.22.7-lp152.3.21.1.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 6.1,
"baseSeverity": "MEDIUM",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N",
"version": "3.1"
},
"products": [
"openSUSE Leap 15.2:nodejs12-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:nodejs12-12.22.7-lp152.3.21.1.x86_64",
"openSUSE Leap 15.2:nodejs12-devel-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:nodejs12-devel-12.22.7-lp152.3.21.1.x86_64",
"openSUSE Leap 15.2:nodejs12-docs-12.22.7-lp152.3.21.1.noarch",
"openSUSE Leap 15.2:npm12-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:npm12-12.22.7-lp152.3.21.1.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2021-12-12T01:19:11Z",
"details": "moderate"
}
],
"title": "CVE-2021-22959"
},
{
"cve": "CVE-2021-22960",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-22960"
}
],
"notes": [
{
"category": "general",
"text": "The parse function in llhttp \u003c 2.1.4 and \u003c 6.0.6. ignores chunk extensions when parsing the body of chunked requests. This leads to HTTP Request Smuggling (HRS) under certain conditions.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"openSUSE Leap 15.2:nodejs12-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:nodejs12-12.22.7-lp152.3.21.1.x86_64",
"openSUSE Leap 15.2:nodejs12-devel-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:nodejs12-devel-12.22.7-lp152.3.21.1.x86_64",
"openSUSE Leap 15.2:nodejs12-docs-12.22.7-lp152.3.21.1.noarch",
"openSUSE Leap 15.2:npm12-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:npm12-12.22.7-lp152.3.21.1.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-22960",
"url": "https://www.suse.com/security/cve/CVE-2021-22960"
},
{
"category": "external",
"summary": "SUSE Bug 1191602 for CVE-2021-22960",
"url": "https://bugzilla.suse.com/1191602"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"openSUSE Leap 15.2:nodejs12-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:nodejs12-12.22.7-lp152.3.21.1.x86_64",
"openSUSE Leap 15.2:nodejs12-devel-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:nodejs12-devel-12.22.7-lp152.3.21.1.x86_64",
"openSUSE Leap 15.2:nodejs12-docs-12.22.7-lp152.3.21.1.noarch",
"openSUSE Leap 15.2:npm12-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:npm12-12.22.7-lp152.3.21.1.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 6.1,
"baseSeverity": "MEDIUM",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N",
"version": "3.1"
},
"products": [
"openSUSE Leap 15.2:nodejs12-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:nodejs12-12.22.7-lp152.3.21.1.x86_64",
"openSUSE Leap 15.2:nodejs12-devel-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:nodejs12-devel-12.22.7-lp152.3.21.1.x86_64",
"openSUSE Leap 15.2:nodejs12-docs-12.22.7-lp152.3.21.1.noarch",
"openSUSE Leap 15.2:npm12-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:npm12-12.22.7-lp152.3.21.1.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2021-12-12T01:19:11Z",
"details": "moderate"
}
],
"title": "CVE-2021-22960"
},
{
"cve": "CVE-2021-37701",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-37701"
}
],
"notes": [
{
"category": "general",
"text": "The npm package \"tar\" (aka node-tar) before versions 4.4.16, 5.0.8, and 6.1.7 has an arbitrary file creation/overwrite and arbitrary code execution vulnerability. node-tar aims to guarantee that any file whose location would be modified by a symbolic link is not extracted. This is, in part, achieved by ensuring that extracted directories are not symlinks. Additionally, in order to prevent unnecessary stat calls to determine whether a given path is a directory, paths are cached when directories are created. This logic was insufficient when extracting tar files that contained both a directory and a symlink with the same name as the directory, where the symlink and directory names in the archive entry used backslashes as a path separator on posix systems. The cache checking logic used both `\\` and `/` characters as path separators, however `\\` is a valid filename character on posix systems. By first creating a directory, and then replacing that directory with a symlink, it was thus possible to bypass node-tar symlink checks on directories, essentially allowing an untrusted tar file to symlink into an arbitrary location and subsequently extracting arbitrary files into that location, thus allowing arbitrary file creation and overwrite. Additionally, a similar confusion could arise on case-insensitive filesystems. If a tar archive contained a directory at `FOO`, followed by a symbolic link named `foo`, then on case-insensitive file systems, the creation of the symbolic link would remove the directory from the filesystem, but _not_ from the internal directory cache, as it would not be treated as a cache hit. A subsequent file entry within the `FOO` directory would then be placed in the target of the symbolic link, thinking that the directory had already been created. These issues were addressed in releases 4.4.16, 5.0.8 and 6.1.7. The v3 branch of node-tar has been deprecated and did not receive patches for these issues. If you are still using a v3 release we recommend you update to a more recent version of node-tar. If this is not possible, a workaround is available in the referenced GHSA-9r2w-394v-53qc.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"openSUSE Leap 15.2:nodejs12-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:nodejs12-12.22.7-lp152.3.21.1.x86_64",
"openSUSE Leap 15.2:nodejs12-devel-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:nodejs12-devel-12.22.7-lp152.3.21.1.x86_64",
"openSUSE Leap 15.2:nodejs12-docs-12.22.7-lp152.3.21.1.noarch",
"openSUSE Leap 15.2:npm12-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:npm12-12.22.7-lp152.3.21.1.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-37701",
"url": "https://www.suse.com/security/cve/CVE-2021-37701"
},
{
"category": "external",
"summary": "SUSE Bug 1190057 for CVE-2021-37701",
"url": "https://bugzilla.suse.com/1190057"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"openSUSE Leap 15.2:nodejs12-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:nodejs12-12.22.7-lp152.3.21.1.x86_64",
"openSUSE Leap 15.2:nodejs12-devel-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:nodejs12-devel-12.22.7-lp152.3.21.1.x86_64",
"openSUSE Leap 15.2:nodejs12-docs-12.22.7-lp152.3.21.1.noarch",
"openSUSE Leap 15.2:npm12-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:npm12-12.22.7-lp152.3.21.1.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 8.1,
"baseSeverity": "HIGH",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H",
"version": "3.1"
},
"products": [
"openSUSE Leap 15.2:nodejs12-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:nodejs12-12.22.7-lp152.3.21.1.x86_64",
"openSUSE Leap 15.2:nodejs12-devel-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:nodejs12-devel-12.22.7-lp152.3.21.1.x86_64",
"openSUSE Leap 15.2:nodejs12-docs-12.22.7-lp152.3.21.1.noarch",
"openSUSE Leap 15.2:npm12-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:npm12-12.22.7-lp152.3.21.1.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2021-12-12T01:19:11Z",
"details": "important"
}
],
"title": "CVE-2021-37701"
},
{
"cve": "CVE-2021-37712",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-37712"
}
],
"notes": [
{
"category": "general",
"text": "The npm package \"tar\" (aka node-tar) before versions 4.4.18, 5.0.10, and 6.1.9 has an arbitrary file creation/overwrite and arbitrary code execution vulnerability. node-tar aims to guarantee that any file whose location would be modified by a symbolic link is not extracted. This is, in part, achieved by ensuring that extracted directories are not symlinks. Additionally, in order to prevent unnecessary stat calls to determine whether a given path is a directory, paths are cached when directories are created. This logic was insufficient when extracting tar files that contained both a directory and a symlink with names containing unicode values that normalized to the same value. Additionally, on Windows systems, long path portions would resolve to the same file system entities as their 8.3 \"short path\" counterparts. A specially crafted tar archive could thus include a directory with one form of the path, followed by a symbolic link with a different string that resolves to the same file system entity, followed by a file using the first form. By first creating a directory, and then replacing that directory with a symlink that had a different apparent name that resolved to the same entry in the filesystem, it was thus possible to bypass node-tar symlink checks on directories, essentially allowing an untrusted tar file to symlink into an arbitrary location and subsequently extracting arbitrary files into that location, thus allowing arbitrary file creation and overwrite. These issues were addressed in releases 4.4.18, 5.0.10 and 6.1.9. The v3 branch of node-tar has been deprecated and did not receive patches for these issues. If you are still using a v3 release we recommend you update to a more recent version of node-tar. If this is not possible, a workaround is available in the referenced GHSA-qq89-hq3f-393p.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"openSUSE Leap 15.2:nodejs12-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:nodejs12-12.22.7-lp152.3.21.1.x86_64",
"openSUSE Leap 15.2:nodejs12-devel-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:nodejs12-devel-12.22.7-lp152.3.21.1.x86_64",
"openSUSE Leap 15.2:nodejs12-docs-12.22.7-lp152.3.21.1.noarch",
"openSUSE Leap 15.2:npm12-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:npm12-12.22.7-lp152.3.21.1.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-37712",
"url": "https://www.suse.com/security/cve/CVE-2021-37712"
},
{
"category": "external",
"summary": "SUSE Bug 1190056 for CVE-2021-37712",
"url": "https://bugzilla.suse.com/1190056"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"openSUSE Leap 15.2:nodejs12-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:nodejs12-12.22.7-lp152.3.21.1.x86_64",
"openSUSE Leap 15.2:nodejs12-devel-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:nodejs12-devel-12.22.7-lp152.3.21.1.x86_64",
"openSUSE Leap 15.2:nodejs12-docs-12.22.7-lp152.3.21.1.noarch",
"openSUSE Leap 15.2:npm12-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:npm12-12.22.7-lp152.3.21.1.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 8.1,
"baseSeverity": "HIGH",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H",
"version": "3.1"
},
"products": [
"openSUSE Leap 15.2:nodejs12-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:nodejs12-12.22.7-lp152.3.21.1.x86_64",
"openSUSE Leap 15.2:nodejs12-devel-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:nodejs12-devel-12.22.7-lp152.3.21.1.x86_64",
"openSUSE Leap 15.2:nodejs12-docs-12.22.7-lp152.3.21.1.noarch",
"openSUSE Leap 15.2:npm12-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:npm12-12.22.7-lp152.3.21.1.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2021-12-12T01:19:11Z",
"details": "important"
}
],
"title": "CVE-2021-37712"
},
{
"cve": "CVE-2021-37713",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-37713"
}
],
"notes": [
{
"category": "general",
"text": "The npm package \"tar\" (aka node-tar) before versions 4.4.18, 5.0.10, and 6.1.9 has an arbitrary file creation/overwrite and arbitrary code execution vulnerability. node-tar aims to guarantee that any file whose location would be outside of the extraction target directory is not extracted. This is, in part, accomplished by sanitizing absolute paths of entries within the archive, skipping archive entries that contain `..` path portions, and resolving the sanitized paths against the extraction target directory. This logic was insufficient on Windows systems when extracting tar files that contained a path that was not an absolute path, but specified a drive letter different from the extraction target, such as `C:some\\path`. If the drive letter does not match the extraction target, for example `D:\\extraction\\dir`, then the result of `path.resolve(extractionDirectory, entryPath)` would resolve against the current working directory on the `C:` drive, rather than the extraction target directory. Additionally, a `..` portion of the path could occur immediately after the drive letter, such as `C:../foo`, and was not properly sanitized by the logic that checked for `..` within the normalized and split portions of the path. This only affects users of `node-tar` on Windows systems. These issues were addressed in releases 4.4.18, 5.0.10 and 6.1.9. The v3 branch of node-tar has been deprecated and did not receive patches for these issues. If you are still using a v3 release we recommend you update to a more recent version of node-tar. There is no reasonable way to work around this issue without performing the same path normalization procedures that node-tar now does. Users are encouraged to upgrade to the latest patched versions of node-tar, rather than attempt to sanitize paths themselves.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"openSUSE Leap 15.2:nodejs12-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:nodejs12-12.22.7-lp152.3.21.1.x86_64",
"openSUSE Leap 15.2:nodejs12-devel-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:nodejs12-devel-12.22.7-lp152.3.21.1.x86_64",
"openSUSE Leap 15.2:nodejs12-docs-12.22.7-lp152.3.21.1.noarch",
"openSUSE Leap 15.2:npm12-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:npm12-12.22.7-lp152.3.21.1.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-37713",
"url": "https://www.suse.com/security/cve/CVE-2021-37713"
},
{
"category": "external",
"summary": "SUSE Bug 1190055 for CVE-2021-37713",
"url": "https://bugzilla.suse.com/1190055"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"openSUSE Leap 15.2:nodejs12-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:nodejs12-12.22.7-lp152.3.21.1.x86_64",
"openSUSE Leap 15.2:nodejs12-devel-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:nodejs12-devel-12.22.7-lp152.3.21.1.x86_64",
"openSUSE Leap 15.2:nodejs12-docs-12.22.7-lp152.3.21.1.noarch",
"openSUSE Leap 15.2:npm12-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:npm12-12.22.7-lp152.3.21.1.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 8.2,
"baseSeverity": "HIGH",
"vectorString": "CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N",
"version": "3.1"
},
"products": [
"openSUSE Leap 15.2:nodejs12-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:nodejs12-12.22.7-lp152.3.21.1.x86_64",
"openSUSE Leap 15.2:nodejs12-devel-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:nodejs12-devel-12.22.7-lp152.3.21.1.x86_64",
"openSUSE Leap 15.2:nodejs12-docs-12.22.7-lp152.3.21.1.noarch",
"openSUSE Leap 15.2:npm12-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:npm12-12.22.7-lp152.3.21.1.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2021-12-12T01:19:11Z",
"details": "important"
}
],
"title": "CVE-2021-37713"
},
{
"cve": "CVE-2021-39134",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-39134"
}
],
"notes": [
{
"category": "general",
"text": "`@npmcli/arborist`, the library that calculates dependency trees and manages the `node_modules` folder hierarchy for the npm command line interface, aims to guarantee that package dependency contracts will be met, and the extraction of package contents will always be performed into the expected folder. This is, in part, accomplished by resolving dependency specifiers defined in `package.json` manifests for dependencies with a specific name, and nesting folders to resolve conflicting dependencies. When multiple dependencies differ only in the case of their name, Arborist\u0027s internal data structure saw them as separate items that could coexist within the same level in the `node_modules` hierarchy. However, on case-insensitive file systems (such as macOS and Windows), this is not the case. Combined with a symlink dependency such as `file:/some/path`, this allowed an attacker to create a situation in which arbitrary contents could be written to any location on the filesystem. For example, a package `pwn-a` could define a dependency in their `package.json` file such as `\"foo\": \"file:/some/path\"`. Another package, `pwn-b` could define a dependency such as `FOO: \"file:foo.tgz\"`. On case-insensitive file systems, if `pwn-a` was installed, and then `pwn-b` was installed afterwards, the contents of `foo.tgz` would be written to `/some/path`, and any existing contents of `/some/path` would be removed. Anyone using npm v7.20.6 or earlier on a case-insensitive filesystem is potentially affected. This is patched in @npmcli/arborist 2.8.2 which is included in npm v7.20.7 and above.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"openSUSE Leap 15.2:nodejs12-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:nodejs12-12.22.7-lp152.3.21.1.x86_64",
"openSUSE Leap 15.2:nodejs12-devel-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:nodejs12-devel-12.22.7-lp152.3.21.1.x86_64",
"openSUSE Leap 15.2:nodejs12-docs-12.22.7-lp152.3.21.1.noarch",
"openSUSE Leap 15.2:npm12-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:npm12-12.22.7-lp152.3.21.1.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-39134",
"url": "https://www.suse.com/security/cve/CVE-2021-39134"
},
{
"category": "external",
"summary": "SUSE Bug 1190054 for CVE-2021-39134",
"url": "https://bugzilla.suse.com/1190054"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"openSUSE Leap 15.2:nodejs12-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:nodejs12-12.22.7-lp152.3.21.1.x86_64",
"openSUSE Leap 15.2:nodejs12-devel-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:nodejs12-devel-12.22.7-lp152.3.21.1.x86_64",
"openSUSE Leap 15.2:nodejs12-docs-12.22.7-lp152.3.21.1.noarch",
"openSUSE Leap 15.2:npm12-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:npm12-12.22.7-lp152.3.21.1.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 8.1,
"baseSeverity": "HIGH",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H",
"version": "3.1"
},
"products": [
"openSUSE Leap 15.2:nodejs12-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:nodejs12-12.22.7-lp152.3.21.1.x86_64",
"openSUSE Leap 15.2:nodejs12-devel-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:nodejs12-devel-12.22.7-lp152.3.21.1.x86_64",
"openSUSE Leap 15.2:nodejs12-docs-12.22.7-lp152.3.21.1.noarch",
"openSUSE Leap 15.2:npm12-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:npm12-12.22.7-lp152.3.21.1.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2021-12-12T01:19:11Z",
"details": "important"
}
],
"title": "CVE-2021-39134"
},
{
"cve": "CVE-2021-39135",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-39135"
}
],
"notes": [
{
"category": "general",
"text": "`@npmcli/arborist`, the library that calculates dependency trees and manages the node_modules folder hierarchy for the npm command line interface, aims to guarantee that package dependency contracts will be met, and the extraction of package contents will always be performed into the expected folder. This is accomplished by extracting package contents into a project\u0027s `node_modules` folder. If the `node_modules` folder of the root project or any of its dependencies is somehow replaced with a symbolic link, it could allow Arborist to write package dependencies to any arbitrary location on the file system. Note that symbolic links contained within package artifact contents are filtered out, so another means of creating a `node_modules` symbolic link would have to be employed. 1. A `preinstall` script could replace `node_modules` with a symlink. (This is prevented by using `--ignore-scripts`.) 2. An attacker could supply the target with a git repository, instructing them to run `npm install --ignore-scripts` in the root. This may be successful, because `npm install --ignore-scripts` is typically not capable of making changes outside of the project directory, so it may be deemed safe. This is patched in @npmcli/arborist 2.8.2 which is included in npm v7.20.7 and above. For more information including workarounds please see the referenced GHSA-gmw6-94gg-2rc2.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"openSUSE Leap 15.2:nodejs12-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:nodejs12-12.22.7-lp152.3.21.1.x86_64",
"openSUSE Leap 15.2:nodejs12-devel-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:nodejs12-devel-12.22.7-lp152.3.21.1.x86_64",
"openSUSE Leap 15.2:nodejs12-docs-12.22.7-lp152.3.21.1.noarch",
"openSUSE Leap 15.2:npm12-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:npm12-12.22.7-lp152.3.21.1.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-39135",
"url": "https://www.suse.com/security/cve/CVE-2021-39135"
},
{
"category": "external",
"summary": "SUSE Bug 1190053 for CVE-2021-39135",
"url": "https://bugzilla.suse.com/1190053"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"openSUSE Leap 15.2:nodejs12-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:nodejs12-12.22.7-lp152.3.21.1.x86_64",
"openSUSE Leap 15.2:nodejs12-devel-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:nodejs12-devel-12.22.7-lp152.3.21.1.x86_64",
"openSUSE Leap 15.2:nodejs12-docs-12.22.7-lp152.3.21.1.noarch",
"openSUSE Leap 15.2:npm12-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:npm12-12.22.7-lp152.3.21.1.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 8.1,
"baseSeverity": "HIGH",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H",
"version": "3.1"
},
"products": [
"openSUSE Leap 15.2:nodejs12-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:nodejs12-12.22.7-lp152.3.21.1.x86_64",
"openSUSE Leap 15.2:nodejs12-devel-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:nodejs12-devel-12.22.7-lp152.3.21.1.x86_64",
"openSUSE Leap 15.2:nodejs12-docs-12.22.7-lp152.3.21.1.noarch",
"openSUSE Leap 15.2:npm12-12.22.7-lp152.3.21.1.i586",
"openSUSE Leap 15.2:npm12-12.22.7-lp152.3.21.1.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2021-12-12T01:19:11Z",
"details": "important"
}
],
"title": "CVE-2021-39135"
}
]
}
opensuse-su-2024:11616-1
Vulnerability from csaf_opensuse
Published
2024-06-15 00:00
Modified
2024-06-15 00:00
Summary
nodejs14-14.18.1-1.1 on GA media
Notes
Title of the patch
nodejs14-14.18.1-1.1 on GA media
Description of the patch
These are all security issues fixed in the nodejs14-14.18.1-1.1 package on the GA media of openSUSE Tumbleweed.
Patchnames
openSUSE-Tumbleweed-2024-11616
Terms of use
CSAF 2.0 data is provided by SUSE under the Creative Commons License 4.0 with Attribution (CC-BY-4.0).
{
"document": {
"aggregate_severity": {
"namespace": "https://www.suse.com/support/security/rating/",
"text": "moderate"
},
"category": "csaf_security_advisory",
"csaf_version": "2.0",
"distribution": {
"text": "Copyright 2024 SUSE LLC. All rights reserved.",
"tlp": {
"label": "WHITE",
"url": "https://www.first.org/tlp/"
}
},
"lang": "en",
"notes": [
{
"category": "summary",
"text": "nodejs14-14.18.1-1.1 on GA media",
"title": "Title of the patch"
},
{
"category": "description",
"text": "These are all security issues fixed in the nodejs14-14.18.1-1.1 package on the GA media of openSUSE Tumbleweed.",
"title": "Description of the patch"
},
{
"category": "details",
"text": "openSUSE-Tumbleweed-2024-11616",
"title": "Patchnames"
},
{
"category": "legal_disclaimer",
"text": "CSAF 2.0 data is provided by SUSE under the Creative Commons License 4.0 with Attribution (CC-BY-4.0).",
"title": "Terms of use"
}
],
"publisher": {
"category": "vendor",
"contact_details": "https://www.suse.com/support/security/contact/",
"name": "SUSE Product Security Team",
"namespace": "https://www.suse.com/"
},
"references": [
{
"category": "external",
"summary": "SUSE ratings",
"url": "https://www.suse.com/support/security/rating/"
},
{
"category": "self",
"summary": "URL of this CSAF notice",
"url": "https://ftp.suse.com/pub/projects/security/csaf/opensuse-su-2024_11616-1.json"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-22959 page",
"url": "https://www.suse.com/security/cve/CVE-2021-22959/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-22960 page",
"url": "https://www.suse.com/security/cve/CVE-2021-22960/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-37701 page",
"url": "https://www.suse.com/security/cve/CVE-2021-37701/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-37713 page",
"url": "https://www.suse.com/security/cve/CVE-2021-37713/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-39135 page",
"url": "https://www.suse.com/security/cve/CVE-2021-39135/"
}
],
"title": "nodejs14-14.18.1-1.1 on GA media",
"tracking": {
"current_release_date": "2024-06-15T00:00:00Z",
"generator": {
"date": "2024-06-15T00:00:00Z",
"engine": {
"name": "cve-database.git:bin/generate-csaf.pl",
"version": "1"
}
},
"id": "openSUSE-SU-2024:11616-1",
"initial_release_date": "2024-06-15T00:00:00Z",
"revision_history": [
{
"date": "2024-06-15T00:00:00Z",
"number": "1",
"summary": "Current version"
}
],
"status": "final",
"version": "1"
}
},
"product_tree": {
"branches": [
{
"branches": [
{
"branches": [
{
"category": "product_version",
"name": "nodejs14-14.18.1-1.1.aarch64",
"product": {
"name": "nodejs14-14.18.1-1.1.aarch64",
"product_id": "nodejs14-14.18.1-1.1.aarch64"
}
},
{
"category": "product_version",
"name": "nodejs14-devel-14.18.1-1.1.aarch64",
"product": {
"name": "nodejs14-devel-14.18.1-1.1.aarch64",
"product_id": "nodejs14-devel-14.18.1-1.1.aarch64"
}
},
{
"category": "product_version",
"name": "nodejs14-docs-14.18.1-1.1.aarch64",
"product": {
"name": "nodejs14-docs-14.18.1-1.1.aarch64",
"product_id": "nodejs14-docs-14.18.1-1.1.aarch64"
}
},
{
"category": "product_version",
"name": "npm14-14.18.1-1.1.aarch64",
"product": {
"name": "npm14-14.18.1-1.1.aarch64",
"product_id": "npm14-14.18.1-1.1.aarch64"
}
}
],
"category": "architecture",
"name": "aarch64"
},
{
"branches": [
{
"category": "product_version",
"name": "nodejs14-14.18.1-1.1.ppc64le",
"product": {
"name": "nodejs14-14.18.1-1.1.ppc64le",
"product_id": "nodejs14-14.18.1-1.1.ppc64le"
}
},
{
"category": "product_version",
"name": "nodejs14-devel-14.18.1-1.1.ppc64le",
"product": {
"name": "nodejs14-devel-14.18.1-1.1.ppc64le",
"product_id": "nodejs14-devel-14.18.1-1.1.ppc64le"
}
},
{
"category": "product_version",
"name": "nodejs14-docs-14.18.1-1.1.ppc64le",
"product": {
"name": "nodejs14-docs-14.18.1-1.1.ppc64le",
"product_id": "nodejs14-docs-14.18.1-1.1.ppc64le"
}
},
{
"category": "product_version",
"name": "npm14-14.18.1-1.1.ppc64le",
"product": {
"name": "npm14-14.18.1-1.1.ppc64le",
"product_id": "npm14-14.18.1-1.1.ppc64le"
}
}
],
"category": "architecture",
"name": "ppc64le"
},
{
"branches": [
{
"category": "product_version",
"name": "nodejs14-14.18.1-1.1.s390x",
"product": {
"name": "nodejs14-14.18.1-1.1.s390x",
"product_id": "nodejs14-14.18.1-1.1.s390x"
}
},
{
"category": "product_version",
"name": "nodejs14-devel-14.18.1-1.1.s390x",
"product": {
"name": "nodejs14-devel-14.18.1-1.1.s390x",
"product_id": "nodejs14-devel-14.18.1-1.1.s390x"
}
},
{
"category": "product_version",
"name": "nodejs14-docs-14.18.1-1.1.s390x",
"product": {
"name": "nodejs14-docs-14.18.1-1.1.s390x",
"product_id": "nodejs14-docs-14.18.1-1.1.s390x"
}
},
{
"category": "product_version",
"name": "npm14-14.18.1-1.1.s390x",
"product": {
"name": "npm14-14.18.1-1.1.s390x",
"product_id": "npm14-14.18.1-1.1.s390x"
}
}
],
"category": "architecture",
"name": "s390x"
},
{
"branches": [
{
"category": "product_version",
"name": "nodejs14-14.18.1-1.1.x86_64",
"product": {
"name": "nodejs14-14.18.1-1.1.x86_64",
"product_id": "nodejs14-14.18.1-1.1.x86_64"
}
},
{
"category": "product_version",
"name": "nodejs14-devel-14.18.1-1.1.x86_64",
"product": {
"name": "nodejs14-devel-14.18.1-1.1.x86_64",
"product_id": "nodejs14-devel-14.18.1-1.1.x86_64"
}
},
{
"category": "product_version",
"name": "nodejs14-docs-14.18.1-1.1.x86_64",
"product": {
"name": "nodejs14-docs-14.18.1-1.1.x86_64",
"product_id": "nodejs14-docs-14.18.1-1.1.x86_64"
}
},
{
"category": "product_version",
"name": "npm14-14.18.1-1.1.x86_64",
"product": {
"name": "npm14-14.18.1-1.1.x86_64",
"product_id": "npm14-14.18.1-1.1.x86_64"
}
}
],
"category": "architecture",
"name": "x86_64"
},
{
"branches": [
{
"category": "product_name",
"name": "openSUSE Tumbleweed",
"product": {
"name": "openSUSE Tumbleweed",
"product_id": "openSUSE Tumbleweed",
"product_identification_helper": {
"cpe": "cpe:/o:opensuse:tumbleweed"
}
}
}
],
"category": "product_family",
"name": "SUSE Linux Enterprise"
}
],
"category": "vendor",
"name": "SUSE"
}
],
"relationships": [
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs14-14.18.1-1.1.aarch64 as component of openSUSE Tumbleweed",
"product_id": "openSUSE Tumbleweed:nodejs14-14.18.1-1.1.aarch64"
},
"product_reference": "nodejs14-14.18.1-1.1.aarch64",
"relates_to_product_reference": "openSUSE Tumbleweed"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs14-14.18.1-1.1.ppc64le as component of openSUSE Tumbleweed",
"product_id": "openSUSE Tumbleweed:nodejs14-14.18.1-1.1.ppc64le"
},
"product_reference": "nodejs14-14.18.1-1.1.ppc64le",
"relates_to_product_reference": "openSUSE Tumbleweed"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs14-14.18.1-1.1.s390x as component of openSUSE Tumbleweed",
"product_id": "openSUSE Tumbleweed:nodejs14-14.18.1-1.1.s390x"
},
"product_reference": "nodejs14-14.18.1-1.1.s390x",
"relates_to_product_reference": "openSUSE Tumbleweed"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs14-14.18.1-1.1.x86_64 as component of openSUSE Tumbleweed",
"product_id": "openSUSE Tumbleweed:nodejs14-14.18.1-1.1.x86_64"
},
"product_reference": "nodejs14-14.18.1-1.1.x86_64",
"relates_to_product_reference": "openSUSE Tumbleweed"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs14-devel-14.18.1-1.1.aarch64 as component of openSUSE Tumbleweed",
"product_id": "openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.aarch64"
},
"product_reference": "nodejs14-devel-14.18.1-1.1.aarch64",
"relates_to_product_reference": "openSUSE Tumbleweed"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs14-devel-14.18.1-1.1.ppc64le as component of openSUSE Tumbleweed",
"product_id": "openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.ppc64le"
},
"product_reference": "nodejs14-devel-14.18.1-1.1.ppc64le",
"relates_to_product_reference": "openSUSE Tumbleweed"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs14-devel-14.18.1-1.1.s390x as component of openSUSE Tumbleweed",
"product_id": "openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.s390x"
},
"product_reference": "nodejs14-devel-14.18.1-1.1.s390x",
"relates_to_product_reference": "openSUSE Tumbleweed"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs14-devel-14.18.1-1.1.x86_64 as component of openSUSE Tumbleweed",
"product_id": "openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.x86_64"
},
"product_reference": "nodejs14-devel-14.18.1-1.1.x86_64",
"relates_to_product_reference": "openSUSE Tumbleweed"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs14-docs-14.18.1-1.1.aarch64 as component of openSUSE Tumbleweed",
"product_id": "openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.aarch64"
},
"product_reference": "nodejs14-docs-14.18.1-1.1.aarch64",
"relates_to_product_reference": "openSUSE Tumbleweed"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs14-docs-14.18.1-1.1.ppc64le as component of openSUSE Tumbleweed",
"product_id": "openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.ppc64le"
},
"product_reference": "nodejs14-docs-14.18.1-1.1.ppc64le",
"relates_to_product_reference": "openSUSE Tumbleweed"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs14-docs-14.18.1-1.1.s390x as component of openSUSE Tumbleweed",
"product_id": "openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.s390x"
},
"product_reference": "nodejs14-docs-14.18.1-1.1.s390x",
"relates_to_product_reference": "openSUSE Tumbleweed"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs14-docs-14.18.1-1.1.x86_64 as component of openSUSE Tumbleweed",
"product_id": "openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.x86_64"
},
"product_reference": "nodejs14-docs-14.18.1-1.1.x86_64",
"relates_to_product_reference": "openSUSE Tumbleweed"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "npm14-14.18.1-1.1.aarch64 as component of openSUSE Tumbleweed",
"product_id": "openSUSE Tumbleweed:npm14-14.18.1-1.1.aarch64"
},
"product_reference": "npm14-14.18.1-1.1.aarch64",
"relates_to_product_reference": "openSUSE Tumbleweed"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "npm14-14.18.1-1.1.ppc64le as component of openSUSE Tumbleweed",
"product_id": "openSUSE Tumbleweed:npm14-14.18.1-1.1.ppc64le"
},
"product_reference": "npm14-14.18.1-1.1.ppc64le",
"relates_to_product_reference": "openSUSE Tumbleweed"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "npm14-14.18.1-1.1.s390x as component of openSUSE Tumbleweed",
"product_id": "openSUSE Tumbleweed:npm14-14.18.1-1.1.s390x"
},
"product_reference": "npm14-14.18.1-1.1.s390x",
"relates_to_product_reference": "openSUSE Tumbleweed"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "npm14-14.18.1-1.1.x86_64 as component of openSUSE Tumbleweed",
"product_id": "openSUSE Tumbleweed:npm14-14.18.1-1.1.x86_64"
},
"product_reference": "npm14-14.18.1-1.1.x86_64",
"relates_to_product_reference": "openSUSE Tumbleweed"
}
]
},
"vulnerabilities": [
{
"cve": "CVE-2021-22959",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-22959"
}
],
"notes": [
{
"category": "general",
"text": "The parser in accepts requests with a space (SP) right after the header name before the colon. This can lead to HTTP Request Smuggling (HRS) in llhttp \u003c v2.1.4 and \u003c v6.0.6.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.x86_64",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.x86_64",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.x86_64",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-22959",
"url": "https://www.suse.com/security/cve/CVE-2021-22959"
},
{
"category": "external",
"summary": "SUSE Bug 1191601 for CVE-2021-22959",
"url": "https://bugzilla.suse.com/1191601"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.x86_64",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.x86_64",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.x86_64",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 6.1,
"baseSeverity": "MEDIUM",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N",
"version": "3.1"
},
"products": [
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.x86_64",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.x86_64",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.x86_64",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2024-06-15T00:00:00Z",
"details": "moderate"
}
],
"title": "CVE-2021-22959"
},
{
"cve": "CVE-2021-22960",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-22960"
}
],
"notes": [
{
"category": "general",
"text": "The parse function in llhttp \u003c 2.1.4 and \u003c 6.0.6. ignores chunk extensions when parsing the body of chunked requests. This leads to HTTP Request Smuggling (HRS) under certain conditions.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.x86_64",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.x86_64",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.x86_64",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-22960",
"url": "https://www.suse.com/security/cve/CVE-2021-22960"
},
{
"category": "external",
"summary": "SUSE Bug 1191602 for CVE-2021-22960",
"url": "https://bugzilla.suse.com/1191602"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.x86_64",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.x86_64",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.x86_64",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 6.1,
"baseSeverity": "MEDIUM",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N",
"version": "3.1"
},
"products": [
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.x86_64",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.x86_64",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.x86_64",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2024-06-15T00:00:00Z",
"details": "moderate"
}
],
"title": "CVE-2021-22960"
},
{
"cve": "CVE-2021-37701",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-37701"
}
],
"notes": [
{
"category": "general",
"text": "The npm package \"tar\" (aka node-tar) before versions 4.4.16, 5.0.8, and 6.1.7 has an arbitrary file creation/overwrite and arbitrary code execution vulnerability. node-tar aims to guarantee that any file whose location would be modified by a symbolic link is not extracted. This is, in part, achieved by ensuring that extracted directories are not symlinks. Additionally, in order to prevent unnecessary stat calls to determine whether a given path is a directory, paths are cached when directories are created. This logic was insufficient when extracting tar files that contained both a directory and a symlink with the same name as the directory, where the symlink and directory names in the archive entry used backslashes as a path separator on posix systems. The cache checking logic used both `\\` and `/` characters as path separators, however `\\` is a valid filename character on posix systems. By first creating a directory, and then replacing that directory with a symlink, it was thus possible to bypass node-tar symlink checks on directories, essentially allowing an untrusted tar file to symlink into an arbitrary location and subsequently extracting arbitrary files into that location, thus allowing arbitrary file creation and overwrite. Additionally, a similar confusion could arise on case-insensitive filesystems. If a tar archive contained a directory at `FOO`, followed by a symbolic link named `foo`, then on case-insensitive file systems, the creation of the symbolic link would remove the directory from the filesystem, but _not_ from the internal directory cache, as it would not be treated as a cache hit. A subsequent file entry within the `FOO` directory would then be placed in the target of the symbolic link, thinking that the directory had already been created. These issues were addressed in releases 4.4.16, 5.0.8 and 6.1.7. The v3 branch of node-tar has been deprecated and did not receive patches for these issues. If you are still using a v3 release we recommend you update to a more recent version of node-tar. If this is not possible, a workaround is available in the referenced GHSA-9r2w-394v-53qc.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.x86_64",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.x86_64",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.x86_64",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-37701",
"url": "https://www.suse.com/security/cve/CVE-2021-37701"
},
{
"category": "external",
"summary": "SUSE Bug 1190057 for CVE-2021-37701",
"url": "https://bugzilla.suse.com/1190057"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.x86_64",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.x86_64",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.x86_64",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 8.1,
"baseSeverity": "HIGH",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H",
"version": "3.1"
},
"products": [
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.x86_64",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.x86_64",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.x86_64",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2024-06-15T00:00:00Z",
"details": "important"
}
],
"title": "CVE-2021-37701"
},
{
"cve": "CVE-2021-37713",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-37713"
}
],
"notes": [
{
"category": "general",
"text": "The npm package \"tar\" (aka node-tar) before versions 4.4.18, 5.0.10, and 6.1.9 has an arbitrary file creation/overwrite and arbitrary code execution vulnerability. node-tar aims to guarantee that any file whose location would be outside of the extraction target directory is not extracted. This is, in part, accomplished by sanitizing absolute paths of entries within the archive, skipping archive entries that contain `..` path portions, and resolving the sanitized paths against the extraction target directory. This logic was insufficient on Windows systems when extracting tar files that contained a path that was not an absolute path, but specified a drive letter different from the extraction target, such as `C:some\\path`. If the drive letter does not match the extraction target, for example `D:\\extraction\\dir`, then the result of `path.resolve(extractionDirectory, entryPath)` would resolve against the current working directory on the `C:` drive, rather than the extraction target directory. Additionally, a `..` portion of the path could occur immediately after the drive letter, such as `C:../foo`, and was not properly sanitized by the logic that checked for `..` within the normalized and split portions of the path. This only affects users of `node-tar` on Windows systems. These issues were addressed in releases 4.4.18, 5.0.10 and 6.1.9. The v3 branch of node-tar has been deprecated and did not receive patches for these issues. If you are still using a v3 release we recommend you update to a more recent version of node-tar. There is no reasonable way to work around this issue without performing the same path normalization procedures that node-tar now does. Users are encouraged to upgrade to the latest patched versions of node-tar, rather than attempt to sanitize paths themselves.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.x86_64",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.x86_64",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.x86_64",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-37713",
"url": "https://www.suse.com/security/cve/CVE-2021-37713"
},
{
"category": "external",
"summary": "SUSE Bug 1190055 for CVE-2021-37713",
"url": "https://bugzilla.suse.com/1190055"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.x86_64",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.x86_64",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.x86_64",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 8.2,
"baseSeverity": "HIGH",
"vectorString": "CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N",
"version": "3.1"
},
"products": [
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.x86_64",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.x86_64",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.x86_64",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2024-06-15T00:00:00Z",
"details": "important"
}
],
"title": "CVE-2021-37713"
},
{
"cve": "CVE-2021-39135",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-39135"
}
],
"notes": [
{
"category": "general",
"text": "`@npmcli/arborist`, the library that calculates dependency trees and manages the node_modules folder hierarchy for the npm command line interface, aims to guarantee that package dependency contracts will be met, and the extraction of package contents will always be performed into the expected folder. This is accomplished by extracting package contents into a project\u0027s `node_modules` folder. If the `node_modules` folder of the root project or any of its dependencies is somehow replaced with a symbolic link, it could allow Arborist to write package dependencies to any arbitrary location on the file system. Note that symbolic links contained within package artifact contents are filtered out, so another means of creating a `node_modules` symbolic link would have to be employed. 1. A `preinstall` script could replace `node_modules` with a symlink. (This is prevented by using `--ignore-scripts`.) 2. An attacker could supply the target with a git repository, instructing them to run `npm install --ignore-scripts` in the root. This may be successful, because `npm install --ignore-scripts` is typically not capable of making changes outside of the project directory, so it may be deemed safe. This is patched in @npmcli/arborist 2.8.2 which is included in npm v7.20.7 and above. For more information including workarounds please see the referenced GHSA-gmw6-94gg-2rc2.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.x86_64",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.x86_64",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.x86_64",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-39135",
"url": "https://www.suse.com/security/cve/CVE-2021-39135"
},
{
"category": "external",
"summary": "SUSE Bug 1190053 for CVE-2021-39135",
"url": "https://bugzilla.suse.com/1190053"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.x86_64",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.x86_64",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.x86_64",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 8.1,
"baseSeverity": "HIGH",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H",
"version": "3.1"
},
"products": [
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:nodejs14-14.18.1-1.1.x86_64",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:nodejs14-devel-14.18.1-1.1.x86_64",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:nodejs14-docs-14.18.1-1.1.x86_64",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.aarch64",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.ppc64le",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.s390x",
"openSUSE Tumbleweed:npm14-14.18.1-1.1.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2024-06-15T00:00:00Z",
"details": "important"
}
],
"title": "CVE-2021-39135"
}
]
}
opensuse-su-2021:1552-1
Vulnerability from csaf_opensuse
Published
2021-12-10 09:43
Modified
2021-12-10 09:43
Summary
Security update for nodejs14
Notes
Title of the patch
Security update for nodejs14
Description of the patch
This update for nodejs14 fixes the following issues:
nodejs14 was updated to 14.18.1:
* deps: update llhttp to 2.1.4
- HTTP Request Smuggling due to spaced in headers (bsc#1191601, CVE-2021-22959)
- HTTP Request Smuggling when parsing the body (bsc#1191602, CVE-2021-22960)
Changes in 14.18.0:
* buffer:
+ introduce Blob
+ add base64url encoding option
* child_process:
+ allow options.cwd receive a URL
+ add timeout to spawn and fork
+ allow promisified exec to be cancel
+ add 'overlapped' stdio flag
* dns: add 'tries' option to Resolve options
* fs:
+ allow empty string for temp directory prefix
+ allow no-params fsPromises fileHandle read
+ add support for async iterators to fsPromises.writeFile
* http2: add support for sensitive headers
* process: add 'worker' event
* tls: allow reading data into a static buffer
* worker: add setEnvironmentData/getEnvironmentData
Changes in 14.17.6
* deps: upgrade npm to 6.14.15 which fixes a number of
security issues
(bsc#1190057, CVE-2021-37701, bsc#1190056, CVE-2021-37712,
bsc#1190055, CVE-2021-37713, bsc#1190054, CVE-2021-39134,
bsc#1190053, CVE-2021-39135)
This update was imported from the SUSE:SLE-15-SP2:Update update project.
Patchnames
openSUSE-2021-1552
Terms of use
CSAF 2.0 data is provided by SUSE under the Creative Commons License 4.0 with Attribution (CC-BY-4.0).
{
"document": {
"aggregate_severity": {
"namespace": "https://www.suse.com/support/security/rating/",
"text": "important"
},
"category": "csaf_security_advisory",
"csaf_version": "2.0",
"distribution": {
"text": "Copyright 2024 SUSE LLC. All rights reserved.",
"tlp": {
"label": "WHITE",
"url": "https://www.first.org/tlp/"
}
},
"lang": "en",
"notes": [
{
"category": "summary",
"text": "Security update for nodejs14",
"title": "Title of the patch"
},
{
"category": "description",
"text": "This update for nodejs14 fixes the following issues:\n\nnodejs14 was updated to 14.18.1:\n\n* deps: update llhttp to 2.1.4\n\n - HTTP Request Smuggling due to spaced in headers (bsc#1191601, CVE-2021-22959)\n - HTTP Request Smuggling when parsing the body (bsc#1191602, CVE-2021-22960)\n\nChanges in 14.18.0:\n\n * buffer:\n\n + introduce Blob\n + add base64url encoding option\n\n * child_process:\n\n + allow options.cwd receive a URL\n + add timeout to spawn and fork\n + allow promisified exec to be cancel\n + add \u0027overlapped\u0027 stdio flag\n\n * dns: add \u0027tries\u0027 option to Resolve options\n * fs:\n\n + allow empty string for temp directory prefix\n + allow no-params fsPromises fileHandle read\n + add support for async iterators to fsPromises.writeFile\n\n * http2: add support for sensitive headers\n * process: add \u0027worker\u0027 event\n * tls: allow reading data into a static buffer\n * worker: add setEnvironmentData/getEnvironmentData\n\nChanges in 14.17.6\n\n * deps: upgrade npm to 6.14.15 which fixes a number of\n security issues\n (bsc#1190057, CVE-2021-37701, bsc#1190056, CVE-2021-37712,\n bsc#1190055, CVE-2021-37713, bsc#1190054, CVE-2021-39134,\n bsc#1190053, CVE-2021-39135)\n\nThis update was imported from the SUSE:SLE-15-SP2:Update update project.",
"title": "Description of the patch"
},
{
"category": "details",
"text": "openSUSE-2021-1552",
"title": "Patchnames"
},
{
"category": "legal_disclaimer",
"text": "CSAF 2.0 data is provided by SUSE under the Creative Commons License 4.0 with Attribution (CC-BY-4.0).",
"title": "Terms of use"
}
],
"publisher": {
"category": "vendor",
"contact_details": "https://www.suse.com/support/security/contact/",
"name": "SUSE Product Security Team",
"namespace": "https://www.suse.com/"
},
"references": [
{
"category": "external",
"summary": "SUSE ratings",
"url": "https://www.suse.com/support/security/rating/"
},
{
"category": "self",
"summary": "URL of this CSAF notice",
"url": "https://ftp.suse.com/pub/projects/security/csaf/opensuse-su-2021_1552-1.json"
},
{
"category": "self",
"summary": "URL for openSUSE-SU-2021:1552-1",
"url": "https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/thread/INKZHV64GX7LRVL3YYOERQLU3B3U47QD/"
},
{
"category": "self",
"summary": "E-Mail link for openSUSE-SU-2021:1552-1",
"url": "https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/thread/INKZHV64GX7LRVL3YYOERQLU3B3U47QD/"
},
{
"category": "self",
"summary": "SUSE Bug 1190053",
"url": "https://bugzilla.suse.com/1190053"
},
{
"category": "self",
"summary": "SUSE Bug 1190054",
"url": "https://bugzilla.suse.com/1190054"
},
{
"category": "self",
"summary": "SUSE Bug 1190055",
"url": "https://bugzilla.suse.com/1190055"
},
{
"category": "self",
"summary": "SUSE Bug 1190056",
"url": "https://bugzilla.suse.com/1190056"
},
{
"category": "self",
"summary": "SUSE Bug 1190057",
"url": "https://bugzilla.suse.com/1190057"
},
{
"category": "self",
"summary": "SUSE Bug 1191601",
"url": "https://bugzilla.suse.com/1191601"
},
{
"category": "self",
"summary": "SUSE Bug 1191602",
"url": "https://bugzilla.suse.com/1191602"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-22959 page",
"url": "https://www.suse.com/security/cve/CVE-2021-22959/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-22960 page",
"url": "https://www.suse.com/security/cve/CVE-2021-22960/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-37701 page",
"url": "https://www.suse.com/security/cve/CVE-2021-37701/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-37712 page",
"url": "https://www.suse.com/security/cve/CVE-2021-37712/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-37713 page",
"url": "https://www.suse.com/security/cve/CVE-2021-37713/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-39134 page",
"url": "https://www.suse.com/security/cve/CVE-2021-39134/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-39135 page",
"url": "https://www.suse.com/security/cve/CVE-2021-39135/"
}
],
"title": "Security update for nodejs14",
"tracking": {
"current_release_date": "2021-12-10T09:43:16Z",
"generator": {
"date": "2021-12-10T09:43:16Z",
"engine": {
"name": "cve-database.git:bin/generate-csaf.pl",
"version": "1"
}
},
"id": "openSUSE-SU-2021:1552-1",
"initial_release_date": "2021-12-10T09:43:16Z",
"revision_history": [
{
"date": "2021-12-10T09:43:16Z",
"number": "1",
"summary": "Current version"
}
],
"status": "final",
"version": "1"
}
},
"product_tree": {
"branches": [
{
"branches": [
{
"branches": [
{
"category": "product_version",
"name": "nodejs14-docs-14.18.1-lp152.17.1.noarch",
"product": {
"name": "nodejs14-docs-14.18.1-lp152.17.1.noarch",
"product_id": "nodejs14-docs-14.18.1-lp152.17.1.noarch"
}
}
],
"category": "architecture",
"name": "noarch"
},
{
"branches": [
{
"category": "product_version",
"name": "nodejs14-14.18.1-lp152.17.1.x86_64",
"product": {
"name": "nodejs14-14.18.1-lp152.17.1.x86_64",
"product_id": "nodejs14-14.18.1-lp152.17.1.x86_64"
}
},
{
"category": "product_version",
"name": "nodejs14-devel-14.18.1-lp152.17.1.x86_64",
"product": {
"name": "nodejs14-devel-14.18.1-lp152.17.1.x86_64",
"product_id": "nodejs14-devel-14.18.1-lp152.17.1.x86_64"
}
},
{
"category": "product_version",
"name": "npm14-14.18.1-lp152.17.1.x86_64",
"product": {
"name": "npm14-14.18.1-lp152.17.1.x86_64",
"product_id": "npm14-14.18.1-lp152.17.1.x86_64"
}
}
],
"category": "architecture",
"name": "x86_64"
},
{
"branches": [
{
"category": "product_name",
"name": "openSUSE Leap 15.2",
"product": {
"name": "openSUSE Leap 15.2",
"product_id": "openSUSE Leap 15.2",
"product_identification_helper": {
"cpe": "cpe:/o:opensuse:leap:15.2"
}
}
}
],
"category": "product_family",
"name": "SUSE Linux Enterprise"
}
],
"category": "vendor",
"name": "SUSE"
}
],
"relationships": [
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs14-14.18.1-lp152.17.1.x86_64 as component of openSUSE Leap 15.2",
"product_id": "openSUSE Leap 15.2:nodejs14-14.18.1-lp152.17.1.x86_64"
},
"product_reference": "nodejs14-14.18.1-lp152.17.1.x86_64",
"relates_to_product_reference": "openSUSE Leap 15.2"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs14-devel-14.18.1-lp152.17.1.x86_64 as component of openSUSE Leap 15.2",
"product_id": "openSUSE Leap 15.2:nodejs14-devel-14.18.1-lp152.17.1.x86_64"
},
"product_reference": "nodejs14-devel-14.18.1-lp152.17.1.x86_64",
"relates_to_product_reference": "openSUSE Leap 15.2"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs14-docs-14.18.1-lp152.17.1.noarch as component of openSUSE Leap 15.2",
"product_id": "openSUSE Leap 15.2:nodejs14-docs-14.18.1-lp152.17.1.noarch"
},
"product_reference": "nodejs14-docs-14.18.1-lp152.17.1.noarch",
"relates_to_product_reference": "openSUSE Leap 15.2"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "npm14-14.18.1-lp152.17.1.x86_64 as component of openSUSE Leap 15.2",
"product_id": "openSUSE Leap 15.2:npm14-14.18.1-lp152.17.1.x86_64"
},
"product_reference": "npm14-14.18.1-lp152.17.1.x86_64",
"relates_to_product_reference": "openSUSE Leap 15.2"
}
]
},
"vulnerabilities": [
{
"cve": "CVE-2021-22959",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-22959"
}
],
"notes": [
{
"category": "general",
"text": "The parser in accepts requests with a space (SP) right after the header name before the colon. This can lead to HTTP Request Smuggling (HRS) in llhttp \u003c v2.1.4 and \u003c v6.0.6.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"openSUSE Leap 15.2:nodejs14-14.18.1-lp152.17.1.x86_64",
"openSUSE Leap 15.2:nodejs14-devel-14.18.1-lp152.17.1.x86_64",
"openSUSE Leap 15.2:nodejs14-docs-14.18.1-lp152.17.1.noarch",
"openSUSE Leap 15.2:npm14-14.18.1-lp152.17.1.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-22959",
"url": "https://www.suse.com/security/cve/CVE-2021-22959"
},
{
"category": "external",
"summary": "SUSE Bug 1191601 for CVE-2021-22959",
"url": "https://bugzilla.suse.com/1191601"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"openSUSE Leap 15.2:nodejs14-14.18.1-lp152.17.1.x86_64",
"openSUSE Leap 15.2:nodejs14-devel-14.18.1-lp152.17.1.x86_64",
"openSUSE Leap 15.2:nodejs14-docs-14.18.1-lp152.17.1.noarch",
"openSUSE Leap 15.2:npm14-14.18.1-lp152.17.1.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 6.1,
"baseSeverity": "MEDIUM",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N",
"version": "3.1"
},
"products": [
"openSUSE Leap 15.2:nodejs14-14.18.1-lp152.17.1.x86_64",
"openSUSE Leap 15.2:nodejs14-devel-14.18.1-lp152.17.1.x86_64",
"openSUSE Leap 15.2:nodejs14-docs-14.18.1-lp152.17.1.noarch",
"openSUSE Leap 15.2:npm14-14.18.1-lp152.17.1.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2021-12-10T09:43:16Z",
"details": "moderate"
}
],
"title": "CVE-2021-22959"
},
{
"cve": "CVE-2021-22960",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-22960"
}
],
"notes": [
{
"category": "general",
"text": "The parse function in llhttp \u003c 2.1.4 and \u003c 6.0.6. ignores chunk extensions when parsing the body of chunked requests. This leads to HTTP Request Smuggling (HRS) under certain conditions.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"openSUSE Leap 15.2:nodejs14-14.18.1-lp152.17.1.x86_64",
"openSUSE Leap 15.2:nodejs14-devel-14.18.1-lp152.17.1.x86_64",
"openSUSE Leap 15.2:nodejs14-docs-14.18.1-lp152.17.1.noarch",
"openSUSE Leap 15.2:npm14-14.18.1-lp152.17.1.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-22960",
"url": "https://www.suse.com/security/cve/CVE-2021-22960"
},
{
"category": "external",
"summary": "SUSE Bug 1191602 for CVE-2021-22960",
"url": "https://bugzilla.suse.com/1191602"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"openSUSE Leap 15.2:nodejs14-14.18.1-lp152.17.1.x86_64",
"openSUSE Leap 15.2:nodejs14-devel-14.18.1-lp152.17.1.x86_64",
"openSUSE Leap 15.2:nodejs14-docs-14.18.1-lp152.17.1.noarch",
"openSUSE Leap 15.2:npm14-14.18.1-lp152.17.1.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 6.1,
"baseSeverity": "MEDIUM",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N",
"version": "3.1"
},
"products": [
"openSUSE Leap 15.2:nodejs14-14.18.1-lp152.17.1.x86_64",
"openSUSE Leap 15.2:nodejs14-devel-14.18.1-lp152.17.1.x86_64",
"openSUSE Leap 15.2:nodejs14-docs-14.18.1-lp152.17.1.noarch",
"openSUSE Leap 15.2:npm14-14.18.1-lp152.17.1.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2021-12-10T09:43:16Z",
"details": "moderate"
}
],
"title": "CVE-2021-22960"
},
{
"cve": "CVE-2021-37701",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-37701"
}
],
"notes": [
{
"category": "general",
"text": "The npm package \"tar\" (aka node-tar) before versions 4.4.16, 5.0.8, and 6.1.7 has an arbitrary file creation/overwrite and arbitrary code execution vulnerability. node-tar aims to guarantee that any file whose location would be modified by a symbolic link is not extracted. This is, in part, achieved by ensuring that extracted directories are not symlinks. Additionally, in order to prevent unnecessary stat calls to determine whether a given path is a directory, paths are cached when directories are created. This logic was insufficient when extracting tar files that contained both a directory and a symlink with the same name as the directory, where the symlink and directory names in the archive entry used backslashes as a path separator on posix systems. The cache checking logic used both `\\` and `/` characters as path separators, however `\\` is a valid filename character on posix systems. By first creating a directory, and then replacing that directory with a symlink, it was thus possible to bypass node-tar symlink checks on directories, essentially allowing an untrusted tar file to symlink into an arbitrary location and subsequently extracting arbitrary files into that location, thus allowing arbitrary file creation and overwrite. Additionally, a similar confusion could arise on case-insensitive filesystems. If a tar archive contained a directory at `FOO`, followed by a symbolic link named `foo`, then on case-insensitive file systems, the creation of the symbolic link would remove the directory from the filesystem, but _not_ from the internal directory cache, as it would not be treated as a cache hit. A subsequent file entry within the `FOO` directory would then be placed in the target of the symbolic link, thinking that the directory had already been created. These issues were addressed in releases 4.4.16, 5.0.8 and 6.1.7. The v3 branch of node-tar has been deprecated and did not receive patches for these issues. If you are still using a v3 release we recommend you update to a more recent version of node-tar. If this is not possible, a workaround is available in the referenced GHSA-9r2w-394v-53qc.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"openSUSE Leap 15.2:nodejs14-14.18.1-lp152.17.1.x86_64",
"openSUSE Leap 15.2:nodejs14-devel-14.18.1-lp152.17.1.x86_64",
"openSUSE Leap 15.2:nodejs14-docs-14.18.1-lp152.17.1.noarch",
"openSUSE Leap 15.2:npm14-14.18.1-lp152.17.1.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-37701",
"url": "https://www.suse.com/security/cve/CVE-2021-37701"
},
{
"category": "external",
"summary": "SUSE Bug 1190057 for CVE-2021-37701",
"url": "https://bugzilla.suse.com/1190057"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"openSUSE Leap 15.2:nodejs14-14.18.1-lp152.17.1.x86_64",
"openSUSE Leap 15.2:nodejs14-devel-14.18.1-lp152.17.1.x86_64",
"openSUSE Leap 15.2:nodejs14-docs-14.18.1-lp152.17.1.noarch",
"openSUSE Leap 15.2:npm14-14.18.1-lp152.17.1.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 8.1,
"baseSeverity": "HIGH",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H",
"version": "3.1"
},
"products": [
"openSUSE Leap 15.2:nodejs14-14.18.1-lp152.17.1.x86_64",
"openSUSE Leap 15.2:nodejs14-devel-14.18.1-lp152.17.1.x86_64",
"openSUSE Leap 15.2:nodejs14-docs-14.18.1-lp152.17.1.noarch",
"openSUSE Leap 15.2:npm14-14.18.1-lp152.17.1.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2021-12-10T09:43:16Z",
"details": "important"
}
],
"title": "CVE-2021-37701"
},
{
"cve": "CVE-2021-37712",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-37712"
}
],
"notes": [
{
"category": "general",
"text": "The npm package \"tar\" (aka node-tar) before versions 4.4.18, 5.0.10, and 6.1.9 has an arbitrary file creation/overwrite and arbitrary code execution vulnerability. node-tar aims to guarantee that any file whose location would be modified by a symbolic link is not extracted. This is, in part, achieved by ensuring that extracted directories are not symlinks. Additionally, in order to prevent unnecessary stat calls to determine whether a given path is a directory, paths are cached when directories are created. This logic was insufficient when extracting tar files that contained both a directory and a symlink with names containing unicode values that normalized to the same value. Additionally, on Windows systems, long path portions would resolve to the same file system entities as their 8.3 \"short path\" counterparts. A specially crafted tar archive could thus include a directory with one form of the path, followed by a symbolic link with a different string that resolves to the same file system entity, followed by a file using the first form. By first creating a directory, and then replacing that directory with a symlink that had a different apparent name that resolved to the same entry in the filesystem, it was thus possible to bypass node-tar symlink checks on directories, essentially allowing an untrusted tar file to symlink into an arbitrary location and subsequently extracting arbitrary files into that location, thus allowing arbitrary file creation and overwrite. These issues were addressed in releases 4.4.18, 5.0.10 and 6.1.9. The v3 branch of node-tar has been deprecated and did not receive patches for these issues. If you are still using a v3 release we recommend you update to a more recent version of node-tar. If this is not possible, a workaround is available in the referenced GHSA-qq89-hq3f-393p.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"openSUSE Leap 15.2:nodejs14-14.18.1-lp152.17.1.x86_64",
"openSUSE Leap 15.2:nodejs14-devel-14.18.1-lp152.17.1.x86_64",
"openSUSE Leap 15.2:nodejs14-docs-14.18.1-lp152.17.1.noarch",
"openSUSE Leap 15.2:npm14-14.18.1-lp152.17.1.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-37712",
"url": "https://www.suse.com/security/cve/CVE-2021-37712"
},
{
"category": "external",
"summary": "SUSE Bug 1190056 for CVE-2021-37712",
"url": "https://bugzilla.suse.com/1190056"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"openSUSE Leap 15.2:nodejs14-14.18.1-lp152.17.1.x86_64",
"openSUSE Leap 15.2:nodejs14-devel-14.18.1-lp152.17.1.x86_64",
"openSUSE Leap 15.2:nodejs14-docs-14.18.1-lp152.17.1.noarch",
"openSUSE Leap 15.2:npm14-14.18.1-lp152.17.1.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 8.1,
"baseSeverity": "HIGH",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H",
"version": "3.1"
},
"products": [
"openSUSE Leap 15.2:nodejs14-14.18.1-lp152.17.1.x86_64",
"openSUSE Leap 15.2:nodejs14-devel-14.18.1-lp152.17.1.x86_64",
"openSUSE Leap 15.2:nodejs14-docs-14.18.1-lp152.17.1.noarch",
"openSUSE Leap 15.2:npm14-14.18.1-lp152.17.1.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2021-12-10T09:43:16Z",
"details": "important"
}
],
"title": "CVE-2021-37712"
},
{
"cve": "CVE-2021-37713",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-37713"
}
],
"notes": [
{
"category": "general",
"text": "The npm package \"tar\" (aka node-tar) before versions 4.4.18, 5.0.10, and 6.1.9 has an arbitrary file creation/overwrite and arbitrary code execution vulnerability. node-tar aims to guarantee that any file whose location would be outside of the extraction target directory is not extracted. This is, in part, accomplished by sanitizing absolute paths of entries within the archive, skipping archive entries that contain `..` path portions, and resolving the sanitized paths against the extraction target directory. This logic was insufficient on Windows systems when extracting tar files that contained a path that was not an absolute path, but specified a drive letter different from the extraction target, such as `C:some\\path`. If the drive letter does not match the extraction target, for example `D:\\extraction\\dir`, then the result of `path.resolve(extractionDirectory, entryPath)` would resolve against the current working directory on the `C:` drive, rather than the extraction target directory. Additionally, a `..` portion of the path could occur immediately after the drive letter, such as `C:../foo`, and was not properly sanitized by the logic that checked for `..` within the normalized and split portions of the path. This only affects users of `node-tar` on Windows systems. These issues were addressed in releases 4.4.18, 5.0.10 and 6.1.9. The v3 branch of node-tar has been deprecated and did not receive patches for these issues. If you are still using a v3 release we recommend you update to a more recent version of node-tar. There is no reasonable way to work around this issue without performing the same path normalization procedures that node-tar now does. Users are encouraged to upgrade to the latest patched versions of node-tar, rather than attempt to sanitize paths themselves.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"openSUSE Leap 15.2:nodejs14-14.18.1-lp152.17.1.x86_64",
"openSUSE Leap 15.2:nodejs14-devel-14.18.1-lp152.17.1.x86_64",
"openSUSE Leap 15.2:nodejs14-docs-14.18.1-lp152.17.1.noarch",
"openSUSE Leap 15.2:npm14-14.18.1-lp152.17.1.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-37713",
"url": "https://www.suse.com/security/cve/CVE-2021-37713"
},
{
"category": "external",
"summary": "SUSE Bug 1190055 for CVE-2021-37713",
"url": "https://bugzilla.suse.com/1190055"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"openSUSE Leap 15.2:nodejs14-14.18.1-lp152.17.1.x86_64",
"openSUSE Leap 15.2:nodejs14-devel-14.18.1-lp152.17.1.x86_64",
"openSUSE Leap 15.2:nodejs14-docs-14.18.1-lp152.17.1.noarch",
"openSUSE Leap 15.2:npm14-14.18.1-lp152.17.1.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 8.2,
"baseSeverity": "HIGH",
"vectorString": "CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N",
"version": "3.1"
},
"products": [
"openSUSE Leap 15.2:nodejs14-14.18.1-lp152.17.1.x86_64",
"openSUSE Leap 15.2:nodejs14-devel-14.18.1-lp152.17.1.x86_64",
"openSUSE Leap 15.2:nodejs14-docs-14.18.1-lp152.17.1.noarch",
"openSUSE Leap 15.2:npm14-14.18.1-lp152.17.1.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2021-12-10T09:43:16Z",
"details": "important"
}
],
"title": "CVE-2021-37713"
},
{
"cve": "CVE-2021-39134",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-39134"
}
],
"notes": [
{
"category": "general",
"text": "`@npmcli/arborist`, the library that calculates dependency trees and manages the `node_modules` folder hierarchy for the npm command line interface, aims to guarantee that package dependency contracts will be met, and the extraction of package contents will always be performed into the expected folder. This is, in part, accomplished by resolving dependency specifiers defined in `package.json` manifests for dependencies with a specific name, and nesting folders to resolve conflicting dependencies. When multiple dependencies differ only in the case of their name, Arborist\u0027s internal data structure saw them as separate items that could coexist within the same level in the `node_modules` hierarchy. However, on case-insensitive file systems (such as macOS and Windows), this is not the case. Combined with a symlink dependency such as `file:/some/path`, this allowed an attacker to create a situation in which arbitrary contents could be written to any location on the filesystem. For example, a package `pwn-a` could define a dependency in their `package.json` file such as `\"foo\": \"file:/some/path\"`. Another package, `pwn-b` could define a dependency such as `FOO: \"file:foo.tgz\"`. On case-insensitive file systems, if `pwn-a` was installed, and then `pwn-b` was installed afterwards, the contents of `foo.tgz` would be written to `/some/path`, and any existing contents of `/some/path` would be removed. Anyone using npm v7.20.6 or earlier on a case-insensitive filesystem is potentially affected. This is patched in @npmcli/arborist 2.8.2 which is included in npm v7.20.7 and above.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"openSUSE Leap 15.2:nodejs14-14.18.1-lp152.17.1.x86_64",
"openSUSE Leap 15.2:nodejs14-devel-14.18.1-lp152.17.1.x86_64",
"openSUSE Leap 15.2:nodejs14-docs-14.18.1-lp152.17.1.noarch",
"openSUSE Leap 15.2:npm14-14.18.1-lp152.17.1.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-39134",
"url": "https://www.suse.com/security/cve/CVE-2021-39134"
},
{
"category": "external",
"summary": "SUSE Bug 1190054 for CVE-2021-39134",
"url": "https://bugzilla.suse.com/1190054"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"openSUSE Leap 15.2:nodejs14-14.18.1-lp152.17.1.x86_64",
"openSUSE Leap 15.2:nodejs14-devel-14.18.1-lp152.17.1.x86_64",
"openSUSE Leap 15.2:nodejs14-docs-14.18.1-lp152.17.1.noarch",
"openSUSE Leap 15.2:npm14-14.18.1-lp152.17.1.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 8.1,
"baseSeverity": "HIGH",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H",
"version": "3.1"
},
"products": [
"openSUSE Leap 15.2:nodejs14-14.18.1-lp152.17.1.x86_64",
"openSUSE Leap 15.2:nodejs14-devel-14.18.1-lp152.17.1.x86_64",
"openSUSE Leap 15.2:nodejs14-docs-14.18.1-lp152.17.1.noarch",
"openSUSE Leap 15.2:npm14-14.18.1-lp152.17.1.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2021-12-10T09:43:16Z",
"details": "important"
}
],
"title": "CVE-2021-39134"
},
{
"cve": "CVE-2021-39135",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-39135"
}
],
"notes": [
{
"category": "general",
"text": "`@npmcli/arborist`, the library that calculates dependency trees and manages the node_modules folder hierarchy for the npm command line interface, aims to guarantee that package dependency contracts will be met, and the extraction of package contents will always be performed into the expected folder. This is accomplished by extracting package contents into a project\u0027s `node_modules` folder. If the `node_modules` folder of the root project or any of its dependencies is somehow replaced with a symbolic link, it could allow Arborist to write package dependencies to any arbitrary location on the file system. Note that symbolic links contained within package artifact contents are filtered out, so another means of creating a `node_modules` symbolic link would have to be employed. 1. A `preinstall` script could replace `node_modules` with a symlink. (This is prevented by using `--ignore-scripts`.) 2. An attacker could supply the target with a git repository, instructing them to run `npm install --ignore-scripts` in the root. This may be successful, because `npm install --ignore-scripts` is typically not capable of making changes outside of the project directory, so it may be deemed safe. This is patched in @npmcli/arborist 2.8.2 which is included in npm v7.20.7 and above. For more information including workarounds please see the referenced GHSA-gmw6-94gg-2rc2.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"openSUSE Leap 15.2:nodejs14-14.18.1-lp152.17.1.x86_64",
"openSUSE Leap 15.2:nodejs14-devel-14.18.1-lp152.17.1.x86_64",
"openSUSE Leap 15.2:nodejs14-docs-14.18.1-lp152.17.1.noarch",
"openSUSE Leap 15.2:npm14-14.18.1-lp152.17.1.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-39135",
"url": "https://www.suse.com/security/cve/CVE-2021-39135"
},
{
"category": "external",
"summary": "SUSE Bug 1190053 for CVE-2021-39135",
"url": "https://bugzilla.suse.com/1190053"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"openSUSE Leap 15.2:nodejs14-14.18.1-lp152.17.1.x86_64",
"openSUSE Leap 15.2:nodejs14-devel-14.18.1-lp152.17.1.x86_64",
"openSUSE Leap 15.2:nodejs14-docs-14.18.1-lp152.17.1.noarch",
"openSUSE Leap 15.2:npm14-14.18.1-lp152.17.1.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 8.1,
"baseSeverity": "HIGH",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H",
"version": "3.1"
},
"products": [
"openSUSE Leap 15.2:nodejs14-14.18.1-lp152.17.1.x86_64",
"openSUSE Leap 15.2:nodejs14-devel-14.18.1-lp152.17.1.x86_64",
"openSUSE Leap 15.2:nodejs14-docs-14.18.1-lp152.17.1.noarch",
"openSUSE Leap 15.2:npm14-14.18.1-lp152.17.1.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2021-12-10T09:43:16Z",
"details": "important"
}
],
"title": "CVE-2021-39135"
}
]
}
opensuse-su-2021:3940-1
Vulnerability from csaf_opensuse
Published
2021-12-06 13:43
Modified
2021-12-06 13:43
Summary
Security update for nodejs12
Notes
Title of the patch
Security update for nodejs12
Description of the patch
This update for nodejs12 fixes the following issues:
- CVE-2021-22959: Fixed HTTP Request Smuggling due to spaced in headers (bsc#1191601).
- CVE-2021-22960: Fixed HTTP Request Smuggling when parsing the body (bsc#1191602).
- CVE-2021-37701: Fixed arbitrary file creation and overwrite in nodejs-tar (bsc#1190057).
- CVE-2021-37712: Fixed arbitrary file creation and overwrite in nodejs-tar (bsc#1190056).
- CVE-2021-37713: Fixed arbitrary code execution and file creation and overwrite in nodejs-tar (bsc#1190055).
- CVE-2021-39134: Fixed symling following vulnerability in nodejs-arborist (bsc#1190054).
- CVE-2021-39135: Fixed symling following vulnerability in nodejs-arborist (bsc#1190053).
Patchnames
openSUSE-SLE-15.3-2021-3940
Terms of use
CSAF 2.0 data is provided by SUSE under the Creative Commons License 4.0 with Attribution (CC-BY-4.0).
{
"document": {
"aggregate_severity": {
"namespace": "https://www.suse.com/support/security/rating/",
"text": "important"
},
"category": "csaf_security_advisory",
"csaf_version": "2.0",
"distribution": {
"text": "Copyright 2024 SUSE LLC. All rights reserved.",
"tlp": {
"label": "WHITE",
"url": "https://www.first.org/tlp/"
}
},
"lang": "en",
"notes": [
{
"category": "summary",
"text": "Security update for nodejs12",
"title": "Title of the patch"
},
{
"category": "description",
"text": "This update for nodejs12 fixes the following issues:\n\n- CVE-2021-22959: Fixed HTTP Request Smuggling due to spaced in headers (bsc#1191601).\n- CVE-2021-22960: Fixed HTTP Request Smuggling when parsing the body (bsc#1191602).\n- CVE-2021-37701: Fixed arbitrary file creation and overwrite in nodejs-tar (bsc#1190057). \n- CVE-2021-37712: Fixed arbitrary file creation and overwrite in nodejs-tar (bsc#1190056). \n- CVE-2021-37713: Fixed arbitrary code execution and file creation and overwrite in nodejs-tar (bsc#1190055). \n- CVE-2021-39134: Fixed symling following vulnerability in nodejs-arborist (bsc#1190054). \n- CVE-2021-39135: Fixed symling following vulnerability in nodejs-arborist (bsc#1190053). \n",
"title": "Description of the patch"
},
{
"category": "details",
"text": "openSUSE-SLE-15.3-2021-3940",
"title": "Patchnames"
},
{
"category": "legal_disclaimer",
"text": "CSAF 2.0 data is provided by SUSE under the Creative Commons License 4.0 with Attribution (CC-BY-4.0).",
"title": "Terms of use"
}
],
"publisher": {
"category": "vendor",
"contact_details": "https://www.suse.com/support/security/contact/",
"name": "SUSE Product Security Team",
"namespace": "https://www.suse.com/"
},
"references": [
{
"category": "external",
"summary": "SUSE ratings",
"url": "https://www.suse.com/support/security/rating/"
},
{
"category": "self",
"summary": "URL of this CSAF notice",
"url": "https://ftp.suse.com/pub/projects/security/csaf/opensuse-su-2021_3940-1.json"
},
{
"category": "self",
"summary": "URL for openSUSE-SU-2021:3940-1",
"url": "https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/thread/LB7JXCGGW7EKOPAS4IDMUQPYHXS3ZUZA/"
},
{
"category": "self",
"summary": "E-Mail link for openSUSE-SU-2021:3940-1",
"url": "https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/thread/LB7JXCGGW7EKOPAS4IDMUQPYHXS3ZUZA/"
},
{
"category": "self",
"summary": "SUSE Bug 1190053",
"url": "https://bugzilla.suse.com/1190053"
},
{
"category": "self",
"summary": "SUSE Bug 1190054",
"url": "https://bugzilla.suse.com/1190054"
},
{
"category": "self",
"summary": "SUSE Bug 1190055",
"url": "https://bugzilla.suse.com/1190055"
},
{
"category": "self",
"summary": "SUSE Bug 1190056",
"url": "https://bugzilla.suse.com/1190056"
},
{
"category": "self",
"summary": "SUSE Bug 1190057",
"url": "https://bugzilla.suse.com/1190057"
},
{
"category": "self",
"summary": "SUSE Bug 1191601",
"url": "https://bugzilla.suse.com/1191601"
},
{
"category": "self",
"summary": "SUSE Bug 1191602",
"url": "https://bugzilla.suse.com/1191602"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-22959 page",
"url": "https://www.suse.com/security/cve/CVE-2021-22959/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-22960 page",
"url": "https://www.suse.com/security/cve/CVE-2021-22960/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-37701 page",
"url": "https://www.suse.com/security/cve/CVE-2021-37701/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-37712 page",
"url": "https://www.suse.com/security/cve/CVE-2021-37712/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-37713 page",
"url": "https://www.suse.com/security/cve/CVE-2021-37713/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-39134 page",
"url": "https://www.suse.com/security/cve/CVE-2021-39134/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-39135 page",
"url": "https://www.suse.com/security/cve/CVE-2021-39135/"
}
],
"title": "Security update for nodejs12",
"tracking": {
"current_release_date": "2021-12-06T13:43:51Z",
"generator": {
"date": "2021-12-06T13:43:51Z",
"engine": {
"name": "cve-database.git:bin/generate-csaf.pl",
"version": "1"
}
},
"id": "openSUSE-SU-2021:3940-1",
"initial_release_date": "2021-12-06T13:43:51Z",
"revision_history": [
{
"date": "2021-12-06T13:43:51Z",
"number": "1",
"summary": "Current version"
}
],
"status": "final",
"version": "1"
}
},
"product_tree": {
"branches": [
{
"branches": [
{
"branches": [
{
"category": "product_version",
"name": "nodejs12-12.22.7-4.22.1.aarch64",
"product": {
"name": "nodejs12-12.22.7-4.22.1.aarch64",
"product_id": "nodejs12-12.22.7-4.22.1.aarch64"
}
},
{
"category": "product_version",
"name": "nodejs12-devel-12.22.7-4.22.1.aarch64",
"product": {
"name": "nodejs12-devel-12.22.7-4.22.1.aarch64",
"product_id": "nodejs12-devel-12.22.7-4.22.1.aarch64"
}
},
{
"category": "product_version",
"name": "npm12-12.22.7-4.22.1.aarch64",
"product": {
"name": "npm12-12.22.7-4.22.1.aarch64",
"product_id": "npm12-12.22.7-4.22.1.aarch64"
}
}
],
"category": "architecture",
"name": "aarch64"
},
{
"branches": [
{
"category": "product_version",
"name": "nodejs12-docs-12.22.7-4.22.1.noarch",
"product": {
"name": "nodejs12-docs-12.22.7-4.22.1.noarch",
"product_id": "nodejs12-docs-12.22.7-4.22.1.noarch"
}
}
],
"category": "architecture",
"name": "noarch"
},
{
"branches": [
{
"category": "product_version",
"name": "nodejs12-12.22.7-4.22.1.ppc64le",
"product": {
"name": "nodejs12-12.22.7-4.22.1.ppc64le",
"product_id": "nodejs12-12.22.7-4.22.1.ppc64le"
}
},
{
"category": "product_version",
"name": "nodejs12-devel-12.22.7-4.22.1.ppc64le",
"product": {
"name": "nodejs12-devel-12.22.7-4.22.1.ppc64le",
"product_id": "nodejs12-devel-12.22.7-4.22.1.ppc64le"
}
},
{
"category": "product_version",
"name": "npm12-12.22.7-4.22.1.ppc64le",
"product": {
"name": "npm12-12.22.7-4.22.1.ppc64le",
"product_id": "npm12-12.22.7-4.22.1.ppc64le"
}
}
],
"category": "architecture",
"name": "ppc64le"
},
{
"branches": [
{
"category": "product_version",
"name": "nodejs12-12.22.7-4.22.1.s390x",
"product": {
"name": "nodejs12-12.22.7-4.22.1.s390x",
"product_id": "nodejs12-12.22.7-4.22.1.s390x"
}
},
{
"category": "product_version",
"name": "nodejs12-devel-12.22.7-4.22.1.s390x",
"product": {
"name": "nodejs12-devel-12.22.7-4.22.1.s390x",
"product_id": "nodejs12-devel-12.22.7-4.22.1.s390x"
}
},
{
"category": "product_version",
"name": "npm12-12.22.7-4.22.1.s390x",
"product": {
"name": "npm12-12.22.7-4.22.1.s390x",
"product_id": "npm12-12.22.7-4.22.1.s390x"
}
}
],
"category": "architecture",
"name": "s390x"
},
{
"branches": [
{
"category": "product_version",
"name": "nodejs12-12.22.7-4.22.1.x86_64",
"product": {
"name": "nodejs12-12.22.7-4.22.1.x86_64",
"product_id": "nodejs12-12.22.7-4.22.1.x86_64"
}
},
{
"category": "product_version",
"name": "nodejs12-devel-12.22.7-4.22.1.x86_64",
"product": {
"name": "nodejs12-devel-12.22.7-4.22.1.x86_64",
"product_id": "nodejs12-devel-12.22.7-4.22.1.x86_64"
}
},
{
"category": "product_version",
"name": "npm12-12.22.7-4.22.1.x86_64",
"product": {
"name": "npm12-12.22.7-4.22.1.x86_64",
"product_id": "npm12-12.22.7-4.22.1.x86_64"
}
}
],
"category": "architecture",
"name": "x86_64"
},
{
"branches": [
{
"category": "product_name",
"name": "openSUSE Leap 15.3",
"product": {
"name": "openSUSE Leap 15.3",
"product_id": "openSUSE Leap 15.3",
"product_identification_helper": {
"cpe": "cpe:/o:opensuse:leap:15.3"
}
}
}
],
"category": "product_family",
"name": "SUSE Linux Enterprise"
}
],
"category": "vendor",
"name": "SUSE"
}
],
"relationships": [
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs12-12.22.7-4.22.1.aarch64 as component of openSUSE Leap 15.3",
"product_id": "openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.aarch64"
},
"product_reference": "nodejs12-12.22.7-4.22.1.aarch64",
"relates_to_product_reference": "openSUSE Leap 15.3"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs12-12.22.7-4.22.1.ppc64le as component of openSUSE Leap 15.3",
"product_id": "openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.ppc64le"
},
"product_reference": "nodejs12-12.22.7-4.22.1.ppc64le",
"relates_to_product_reference": "openSUSE Leap 15.3"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs12-12.22.7-4.22.1.s390x as component of openSUSE Leap 15.3",
"product_id": "openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.s390x"
},
"product_reference": "nodejs12-12.22.7-4.22.1.s390x",
"relates_to_product_reference": "openSUSE Leap 15.3"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs12-12.22.7-4.22.1.x86_64 as component of openSUSE Leap 15.3",
"product_id": "openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.x86_64"
},
"product_reference": "nodejs12-12.22.7-4.22.1.x86_64",
"relates_to_product_reference": "openSUSE Leap 15.3"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs12-devel-12.22.7-4.22.1.aarch64 as component of openSUSE Leap 15.3",
"product_id": "openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.aarch64"
},
"product_reference": "nodejs12-devel-12.22.7-4.22.1.aarch64",
"relates_to_product_reference": "openSUSE Leap 15.3"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs12-devel-12.22.7-4.22.1.ppc64le as component of openSUSE Leap 15.3",
"product_id": "openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.ppc64le"
},
"product_reference": "nodejs12-devel-12.22.7-4.22.1.ppc64le",
"relates_to_product_reference": "openSUSE Leap 15.3"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs12-devel-12.22.7-4.22.1.s390x as component of openSUSE Leap 15.3",
"product_id": "openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.s390x"
},
"product_reference": "nodejs12-devel-12.22.7-4.22.1.s390x",
"relates_to_product_reference": "openSUSE Leap 15.3"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs12-devel-12.22.7-4.22.1.x86_64 as component of openSUSE Leap 15.3",
"product_id": "openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.x86_64"
},
"product_reference": "nodejs12-devel-12.22.7-4.22.1.x86_64",
"relates_to_product_reference": "openSUSE Leap 15.3"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs12-docs-12.22.7-4.22.1.noarch as component of openSUSE Leap 15.3",
"product_id": "openSUSE Leap 15.3:nodejs12-docs-12.22.7-4.22.1.noarch"
},
"product_reference": "nodejs12-docs-12.22.7-4.22.1.noarch",
"relates_to_product_reference": "openSUSE Leap 15.3"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "npm12-12.22.7-4.22.1.aarch64 as component of openSUSE Leap 15.3",
"product_id": "openSUSE Leap 15.3:npm12-12.22.7-4.22.1.aarch64"
},
"product_reference": "npm12-12.22.7-4.22.1.aarch64",
"relates_to_product_reference": "openSUSE Leap 15.3"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "npm12-12.22.7-4.22.1.ppc64le as component of openSUSE Leap 15.3",
"product_id": "openSUSE Leap 15.3:npm12-12.22.7-4.22.1.ppc64le"
},
"product_reference": "npm12-12.22.7-4.22.1.ppc64le",
"relates_to_product_reference": "openSUSE Leap 15.3"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "npm12-12.22.7-4.22.1.s390x as component of openSUSE Leap 15.3",
"product_id": "openSUSE Leap 15.3:npm12-12.22.7-4.22.1.s390x"
},
"product_reference": "npm12-12.22.7-4.22.1.s390x",
"relates_to_product_reference": "openSUSE Leap 15.3"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "npm12-12.22.7-4.22.1.x86_64 as component of openSUSE Leap 15.3",
"product_id": "openSUSE Leap 15.3:npm12-12.22.7-4.22.1.x86_64"
},
"product_reference": "npm12-12.22.7-4.22.1.x86_64",
"relates_to_product_reference": "openSUSE Leap 15.3"
}
]
},
"vulnerabilities": [
{
"cve": "CVE-2021-22959",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-22959"
}
],
"notes": [
{
"category": "general",
"text": "The parser in accepts requests with a space (SP) right after the header name before the colon. This can lead to HTTP Request Smuggling (HRS) in llhttp \u003c v2.1.4 and \u003c v6.0.6.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.x86_64",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.x86_64",
"openSUSE Leap 15.3:nodejs12-docs-12.22.7-4.22.1.noarch",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-22959",
"url": "https://www.suse.com/security/cve/CVE-2021-22959"
},
{
"category": "external",
"summary": "SUSE Bug 1191601 for CVE-2021-22959",
"url": "https://bugzilla.suse.com/1191601"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.x86_64",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.x86_64",
"openSUSE Leap 15.3:nodejs12-docs-12.22.7-4.22.1.noarch",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 6.1,
"baseSeverity": "MEDIUM",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N",
"version": "3.1"
},
"products": [
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.x86_64",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.x86_64",
"openSUSE Leap 15.3:nodejs12-docs-12.22.7-4.22.1.noarch",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2021-12-06T13:43:51Z",
"details": "moderate"
}
],
"title": "CVE-2021-22959"
},
{
"cve": "CVE-2021-22960",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-22960"
}
],
"notes": [
{
"category": "general",
"text": "The parse function in llhttp \u003c 2.1.4 and \u003c 6.0.6. ignores chunk extensions when parsing the body of chunked requests. This leads to HTTP Request Smuggling (HRS) under certain conditions.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.x86_64",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.x86_64",
"openSUSE Leap 15.3:nodejs12-docs-12.22.7-4.22.1.noarch",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-22960",
"url": "https://www.suse.com/security/cve/CVE-2021-22960"
},
{
"category": "external",
"summary": "SUSE Bug 1191602 for CVE-2021-22960",
"url": "https://bugzilla.suse.com/1191602"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.x86_64",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.x86_64",
"openSUSE Leap 15.3:nodejs12-docs-12.22.7-4.22.1.noarch",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 6.1,
"baseSeverity": "MEDIUM",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N",
"version": "3.1"
},
"products": [
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.x86_64",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.x86_64",
"openSUSE Leap 15.3:nodejs12-docs-12.22.7-4.22.1.noarch",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2021-12-06T13:43:51Z",
"details": "moderate"
}
],
"title": "CVE-2021-22960"
},
{
"cve": "CVE-2021-37701",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-37701"
}
],
"notes": [
{
"category": "general",
"text": "The npm package \"tar\" (aka node-tar) before versions 4.4.16, 5.0.8, and 6.1.7 has an arbitrary file creation/overwrite and arbitrary code execution vulnerability. node-tar aims to guarantee that any file whose location would be modified by a symbolic link is not extracted. This is, in part, achieved by ensuring that extracted directories are not symlinks. Additionally, in order to prevent unnecessary stat calls to determine whether a given path is a directory, paths are cached when directories are created. This logic was insufficient when extracting tar files that contained both a directory and a symlink with the same name as the directory, where the symlink and directory names in the archive entry used backslashes as a path separator on posix systems. The cache checking logic used both `\\` and `/` characters as path separators, however `\\` is a valid filename character on posix systems. By first creating a directory, and then replacing that directory with a symlink, it was thus possible to bypass node-tar symlink checks on directories, essentially allowing an untrusted tar file to symlink into an arbitrary location and subsequently extracting arbitrary files into that location, thus allowing arbitrary file creation and overwrite. Additionally, a similar confusion could arise on case-insensitive filesystems. If a tar archive contained a directory at `FOO`, followed by a symbolic link named `foo`, then on case-insensitive file systems, the creation of the symbolic link would remove the directory from the filesystem, but _not_ from the internal directory cache, as it would not be treated as a cache hit. A subsequent file entry within the `FOO` directory would then be placed in the target of the symbolic link, thinking that the directory had already been created. These issues were addressed in releases 4.4.16, 5.0.8 and 6.1.7. The v3 branch of node-tar has been deprecated and did not receive patches for these issues. If you are still using a v3 release we recommend you update to a more recent version of node-tar. If this is not possible, a workaround is available in the referenced GHSA-9r2w-394v-53qc.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.x86_64",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.x86_64",
"openSUSE Leap 15.3:nodejs12-docs-12.22.7-4.22.1.noarch",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-37701",
"url": "https://www.suse.com/security/cve/CVE-2021-37701"
},
{
"category": "external",
"summary": "SUSE Bug 1190057 for CVE-2021-37701",
"url": "https://bugzilla.suse.com/1190057"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.x86_64",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.x86_64",
"openSUSE Leap 15.3:nodejs12-docs-12.22.7-4.22.1.noarch",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 8.1,
"baseSeverity": "HIGH",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H",
"version": "3.1"
},
"products": [
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.x86_64",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.x86_64",
"openSUSE Leap 15.3:nodejs12-docs-12.22.7-4.22.1.noarch",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2021-12-06T13:43:51Z",
"details": "important"
}
],
"title": "CVE-2021-37701"
},
{
"cve": "CVE-2021-37712",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-37712"
}
],
"notes": [
{
"category": "general",
"text": "The npm package \"tar\" (aka node-tar) before versions 4.4.18, 5.0.10, and 6.1.9 has an arbitrary file creation/overwrite and arbitrary code execution vulnerability. node-tar aims to guarantee that any file whose location would be modified by a symbolic link is not extracted. This is, in part, achieved by ensuring that extracted directories are not symlinks. Additionally, in order to prevent unnecessary stat calls to determine whether a given path is a directory, paths are cached when directories are created. This logic was insufficient when extracting tar files that contained both a directory and a symlink with names containing unicode values that normalized to the same value. Additionally, on Windows systems, long path portions would resolve to the same file system entities as their 8.3 \"short path\" counterparts. A specially crafted tar archive could thus include a directory with one form of the path, followed by a symbolic link with a different string that resolves to the same file system entity, followed by a file using the first form. By first creating a directory, and then replacing that directory with a symlink that had a different apparent name that resolved to the same entry in the filesystem, it was thus possible to bypass node-tar symlink checks on directories, essentially allowing an untrusted tar file to symlink into an arbitrary location and subsequently extracting arbitrary files into that location, thus allowing arbitrary file creation and overwrite. These issues were addressed in releases 4.4.18, 5.0.10 and 6.1.9. The v3 branch of node-tar has been deprecated and did not receive patches for these issues. If you are still using a v3 release we recommend you update to a more recent version of node-tar. If this is not possible, a workaround is available in the referenced GHSA-qq89-hq3f-393p.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.x86_64",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.x86_64",
"openSUSE Leap 15.3:nodejs12-docs-12.22.7-4.22.1.noarch",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-37712",
"url": "https://www.suse.com/security/cve/CVE-2021-37712"
},
{
"category": "external",
"summary": "SUSE Bug 1190056 for CVE-2021-37712",
"url": "https://bugzilla.suse.com/1190056"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.x86_64",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.x86_64",
"openSUSE Leap 15.3:nodejs12-docs-12.22.7-4.22.1.noarch",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 8.1,
"baseSeverity": "HIGH",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H",
"version": "3.1"
},
"products": [
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.x86_64",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.x86_64",
"openSUSE Leap 15.3:nodejs12-docs-12.22.7-4.22.1.noarch",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2021-12-06T13:43:51Z",
"details": "important"
}
],
"title": "CVE-2021-37712"
},
{
"cve": "CVE-2021-37713",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-37713"
}
],
"notes": [
{
"category": "general",
"text": "The npm package \"tar\" (aka node-tar) before versions 4.4.18, 5.0.10, and 6.1.9 has an arbitrary file creation/overwrite and arbitrary code execution vulnerability. node-tar aims to guarantee that any file whose location would be outside of the extraction target directory is not extracted. This is, in part, accomplished by sanitizing absolute paths of entries within the archive, skipping archive entries that contain `..` path portions, and resolving the sanitized paths against the extraction target directory. This logic was insufficient on Windows systems when extracting tar files that contained a path that was not an absolute path, but specified a drive letter different from the extraction target, such as `C:some\\path`. If the drive letter does not match the extraction target, for example `D:\\extraction\\dir`, then the result of `path.resolve(extractionDirectory, entryPath)` would resolve against the current working directory on the `C:` drive, rather than the extraction target directory. Additionally, a `..` portion of the path could occur immediately after the drive letter, such as `C:../foo`, and was not properly sanitized by the logic that checked for `..` within the normalized and split portions of the path. This only affects users of `node-tar` on Windows systems. These issues were addressed in releases 4.4.18, 5.0.10 and 6.1.9. The v3 branch of node-tar has been deprecated and did not receive patches for these issues. If you are still using a v3 release we recommend you update to a more recent version of node-tar. There is no reasonable way to work around this issue without performing the same path normalization procedures that node-tar now does. Users are encouraged to upgrade to the latest patched versions of node-tar, rather than attempt to sanitize paths themselves.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.x86_64",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.x86_64",
"openSUSE Leap 15.3:nodejs12-docs-12.22.7-4.22.1.noarch",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-37713",
"url": "https://www.suse.com/security/cve/CVE-2021-37713"
},
{
"category": "external",
"summary": "SUSE Bug 1190055 for CVE-2021-37713",
"url": "https://bugzilla.suse.com/1190055"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.x86_64",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.x86_64",
"openSUSE Leap 15.3:nodejs12-docs-12.22.7-4.22.1.noarch",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 8.2,
"baseSeverity": "HIGH",
"vectorString": "CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N",
"version": "3.1"
},
"products": [
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.x86_64",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.x86_64",
"openSUSE Leap 15.3:nodejs12-docs-12.22.7-4.22.1.noarch",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2021-12-06T13:43:51Z",
"details": "important"
}
],
"title": "CVE-2021-37713"
},
{
"cve": "CVE-2021-39134",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-39134"
}
],
"notes": [
{
"category": "general",
"text": "`@npmcli/arborist`, the library that calculates dependency trees and manages the `node_modules` folder hierarchy for the npm command line interface, aims to guarantee that package dependency contracts will be met, and the extraction of package contents will always be performed into the expected folder. This is, in part, accomplished by resolving dependency specifiers defined in `package.json` manifests for dependencies with a specific name, and nesting folders to resolve conflicting dependencies. When multiple dependencies differ only in the case of their name, Arborist\u0027s internal data structure saw them as separate items that could coexist within the same level in the `node_modules` hierarchy. However, on case-insensitive file systems (such as macOS and Windows), this is not the case. Combined with a symlink dependency such as `file:/some/path`, this allowed an attacker to create a situation in which arbitrary contents could be written to any location on the filesystem. For example, a package `pwn-a` could define a dependency in their `package.json` file such as `\"foo\": \"file:/some/path\"`. Another package, `pwn-b` could define a dependency such as `FOO: \"file:foo.tgz\"`. On case-insensitive file systems, if `pwn-a` was installed, and then `pwn-b` was installed afterwards, the contents of `foo.tgz` would be written to `/some/path`, and any existing contents of `/some/path` would be removed. Anyone using npm v7.20.6 or earlier on a case-insensitive filesystem is potentially affected. This is patched in @npmcli/arborist 2.8.2 which is included in npm v7.20.7 and above.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.x86_64",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.x86_64",
"openSUSE Leap 15.3:nodejs12-docs-12.22.7-4.22.1.noarch",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-39134",
"url": "https://www.suse.com/security/cve/CVE-2021-39134"
},
{
"category": "external",
"summary": "SUSE Bug 1190054 for CVE-2021-39134",
"url": "https://bugzilla.suse.com/1190054"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.x86_64",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.x86_64",
"openSUSE Leap 15.3:nodejs12-docs-12.22.7-4.22.1.noarch",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 8.1,
"baseSeverity": "HIGH",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H",
"version": "3.1"
},
"products": [
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.x86_64",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.x86_64",
"openSUSE Leap 15.3:nodejs12-docs-12.22.7-4.22.1.noarch",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2021-12-06T13:43:51Z",
"details": "important"
}
],
"title": "CVE-2021-39134"
},
{
"cve": "CVE-2021-39135",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-39135"
}
],
"notes": [
{
"category": "general",
"text": "`@npmcli/arborist`, the library that calculates dependency trees and manages the node_modules folder hierarchy for the npm command line interface, aims to guarantee that package dependency contracts will be met, and the extraction of package contents will always be performed into the expected folder. This is accomplished by extracting package contents into a project\u0027s `node_modules` folder. If the `node_modules` folder of the root project or any of its dependencies is somehow replaced with a symbolic link, it could allow Arborist to write package dependencies to any arbitrary location on the file system. Note that symbolic links contained within package artifact contents are filtered out, so another means of creating a `node_modules` symbolic link would have to be employed. 1. A `preinstall` script could replace `node_modules` with a symlink. (This is prevented by using `--ignore-scripts`.) 2. An attacker could supply the target with a git repository, instructing them to run `npm install --ignore-scripts` in the root. This may be successful, because `npm install --ignore-scripts` is typically not capable of making changes outside of the project directory, so it may be deemed safe. This is patched in @npmcli/arborist 2.8.2 which is included in npm v7.20.7 and above. For more information including workarounds please see the referenced GHSA-gmw6-94gg-2rc2.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.x86_64",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.x86_64",
"openSUSE Leap 15.3:nodejs12-docs-12.22.7-4.22.1.noarch",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-39135",
"url": "https://www.suse.com/security/cve/CVE-2021-39135"
},
{
"category": "external",
"summary": "SUSE Bug 1190053 for CVE-2021-39135",
"url": "https://bugzilla.suse.com/1190053"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.x86_64",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.x86_64",
"openSUSE Leap 15.3:nodejs12-docs-12.22.7-4.22.1.noarch",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 8.1,
"baseSeverity": "HIGH",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H",
"version": "3.1"
},
"products": [
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:nodejs12-12.22.7-4.22.1.x86_64",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:nodejs12-devel-12.22.7-4.22.1.x86_64",
"openSUSE Leap 15.3:nodejs12-docs-12.22.7-4.22.1.noarch",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.aarch64",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.ppc64le",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.s390x",
"openSUSE Leap 15.3:npm12-12.22.7-4.22.1.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2021-12-06T13:43:51Z",
"details": "important"
}
],
"title": "CVE-2021-39135"
}
]
}
opensuse-su-2021:3964-1
Vulnerability from csaf_opensuse
Published
2021-12-07 07:57
Modified
2021-12-07 07:57
Summary
Security update for nodejs14
Notes
Title of the patch
Security update for nodejs14
Description of the patch
This update for nodejs14 fixes the following issues:
nodejs14 was updated to 14.18.1:
* deps: update llhttp to 2.1.4
- HTTP Request Smuggling due to spaced in headers (bsc#1191601, CVE-2021-22959)
- HTTP Request Smuggling when parsing the body (bsc#1191602, CVE-2021-22960)
Changes in 14.18.0:
* buffer:
+ introduce Blob
+ add base64url encoding option
* child_process:
+ allow options.cwd receive a URL
+ add timeout to spawn and fork
+ allow promisified exec to be cancel
+ add 'overlapped' stdio flag
* dns: add 'tries' option to Resolve options
* fs:
+ allow empty string for temp directory prefix
+ allow no-params fsPromises fileHandle read
+ add support for async iterators to fsPromises.writeFile
* http2: add support for sensitive headers
* process: add 'worker' event
* tls: allow reading data into a static buffer
* worker: add setEnvironmentData/getEnvironmentData
Changes in 14.17.6
* deps: upgrade npm to 6.14.15 which fixes a number of
security issues
(bsc#1190057, CVE-2021-37701, bsc#1190056, CVE-2021-37712,
bsc#1190055, CVE-2021-37713, bsc#1190054, CVE-2021-39134,
bsc#1190053, CVE-2021-39135)
Patchnames
openSUSE-SLE-15.3-2021-3964
Terms of use
CSAF 2.0 data is provided by SUSE under the Creative Commons License 4.0 with Attribution (CC-BY-4.0).
{
"document": {
"aggregate_severity": {
"namespace": "https://www.suse.com/support/security/rating/",
"text": "important"
},
"category": "csaf_security_advisory",
"csaf_version": "2.0",
"distribution": {
"text": "Copyright 2024 SUSE LLC. All rights reserved.",
"tlp": {
"label": "WHITE",
"url": "https://www.first.org/tlp/"
}
},
"lang": "en",
"notes": [
{
"category": "summary",
"text": "Security update for nodejs14",
"title": "Title of the patch"
},
{
"category": "description",
"text": "This update for nodejs14 fixes the following issues:\n\nnodejs14 was updated to 14.18.1:\n\n* deps: update llhttp to 2.1.4\n\n - HTTP Request Smuggling due to spaced in headers (bsc#1191601, CVE-2021-22959)\n - HTTP Request Smuggling when parsing the body (bsc#1191602, CVE-2021-22960)\n\nChanges in 14.18.0:\n\n * buffer:\n\n + introduce Blob\n + add base64url encoding option\n\n * child_process:\n\n + allow options.cwd receive a URL\n + add timeout to spawn and fork\n + allow promisified exec to be cancel\n + add \u0027overlapped\u0027 stdio flag\n\n * dns: add \u0027tries\u0027 option to Resolve options\n * fs:\n\n + allow empty string for temp directory prefix\n + allow no-params fsPromises fileHandle read\n + add support for async iterators to fsPromises.writeFile\n\n * http2: add support for sensitive headers\n * process: add \u0027worker\u0027 event\n * tls: allow reading data into a static buffer\n * worker: add setEnvironmentData/getEnvironmentData\n\nChanges in 14.17.6\n\n * deps: upgrade npm to 6.14.15 which fixes a number of\n security issues\n (bsc#1190057, CVE-2021-37701, bsc#1190056, CVE-2021-37712,\n bsc#1190055, CVE-2021-37713, bsc#1190054, CVE-2021-39134,\n bsc#1190053, CVE-2021-39135)\n",
"title": "Description of the patch"
},
{
"category": "details",
"text": "openSUSE-SLE-15.3-2021-3964",
"title": "Patchnames"
},
{
"category": "legal_disclaimer",
"text": "CSAF 2.0 data is provided by SUSE under the Creative Commons License 4.0 with Attribution (CC-BY-4.0).",
"title": "Terms of use"
}
],
"publisher": {
"category": "vendor",
"contact_details": "https://www.suse.com/support/security/contact/",
"name": "SUSE Product Security Team",
"namespace": "https://www.suse.com/"
},
"references": [
{
"category": "external",
"summary": "SUSE ratings",
"url": "https://www.suse.com/support/security/rating/"
},
{
"category": "self",
"summary": "URL of this CSAF notice",
"url": "https://ftp.suse.com/pub/projects/security/csaf/opensuse-su-2021_3964-1.json"
},
{
"category": "self",
"summary": "URL for openSUSE-SU-2021:3964-1",
"url": "https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/thread/EB6I33SJCMQ2K7LAKKPS54HRXSB7FQXG/"
},
{
"category": "self",
"summary": "E-Mail link for openSUSE-SU-2021:3964-1",
"url": "https://lists.opensuse.org/archives/list/security-announce@lists.opensuse.org/thread/EB6I33SJCMQ2K7LAKKPS54HRXSB7FQXG/"
},
{
"category": "self",
"summary": "SUSE Bug 1190053",
"url": "https://bugzilla.suse.com/1190053"
},
{
"category": "self",
"summary": "SUSE Bug 1190054",
"url": "https://bugzilla.suse.com/1190054"
},
{
"category": "self",
"summary": "SUSE Bug 1190055",
"url": "https://bugzilla.suse.com/1190055"
},
{
"category": "self",
"summary": "SUSE Bug 1190056",
"url": "https://bugzilla.suse.com/1190056"
},
{
"category": "self",
"summary": "SUSE Bug 1190057",
"url": "https://bugzilla.suse.com/1190057"
},
{
"category": "self",
"summary": "SUSE Bug 1191601",
"url": "https://bugzilla.suse.com/1191601"
},
{
"category": "self",
"summary": "SUSE Bug 1191602",
"url": "https://bugzilla.suse.com/1191602"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-22959 page",
"url": "https://www.suse.com/security/cve/CVE-2021-22959/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-22960 page",
"url": "https://www.suse.com/security/cve/CVE-2021-22960/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-37701 page",
"url": "https://www.suse.com/security/cve/CVE-2021-37701/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-37712 page",
"url": "https://www.suse.com/security/cve/CVE-2021-37712/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-37713 page",
"url": "https://www.suse.com/security/cve/CVE-2021-37713/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-39134 page",
"url": "https://www.suse.com/security/cve/CVE-2021-39134/"
},
{
"category": "self",
"summary": "SUSE CVE CVE-2021-39135 page",
"url": "https://www.suse.com/security/cve/CVE-2021-39135/"
}
],
"title": "Security update for nodejs14",
"tracking": {
"current_release_date": "2021-12-07T07:57:43Z",
"generator": {
"date": "2021-12-07T07:57:43Z",
"engine": {
"name": "cve-database.git:bin/generate-csaf.pl",
"version": "1"
}
},
"id": "openSUSE-SU-2021:3964-1",
"initial_release_date": "2021-12-07T07:57:43Z",
"revision_history": [
{
"date": "2021-12-07T07:57:43Z",
"number": "1",
"summary": "Current version"
}
],
"status": "final",
"version": "1"
}
},
"product_tree": {
"branches": [
{
"branches": [
{
"branches": [
{
"category": "product_version",
"name": "nodejs14-14.18.1-15.21.2.aarch64",
"product": {
"name": "nodejs14-14.18.1-15.21.2.aarch64",
"product_id": "nodejs14-14.18.1-15.21.2.aarch64"
}
},
{
"category": "product_version",
"name": "nodejs14-devel-14.18.1-15.21.2.aarch64",
"product": {
"name": "nodejs14-devel-14.18.1-15.21.2.aarch64",
"product_id": "nodejs14-devel-14.18.1-15.21.2.aarch64"
}
},
{
"category": "product_version",
"name": "npm14-14.18.1-15.21.2.aarch64",
"product": {
"name": "npm14-14.18.1-15.21.2.aarch64",
"product_id": "npm14-14.18.1-15.21.2.aarch64"
}
}
],
"category": "architecture",
"name": "aarch64"
},
{
"branches": [
{
"category": "product_version",
"name": "nodejs14-docs-14.18.1-15.21.2.noarch",
"product": {
"name": "nodejs14-docs-14.18.1-15.21.2.noarch",
"product_id": "nodejs14-docs-14.18.1-15.21.2.noarch"
}
}
],
"category": "architecture",
"name": "noarch"
},
{
"branches": [
{
"category": "product_version",
"name": "nodejs14-14.18.1-15.21.2.ppc64le",
"product": {
"name": "nodejs14-14.18.1-15.21.2.ppc64le",
"product_id": "nodejs14-14.18.1-15.21.2.ppc64le"
}
},
{
"category": "product_version",
"name": "nodejs14-devel-14.18.1-15.21.2.ppc64le",
"product": {
"name": "nodejs14-devel-14.18.1-15.21.2.ppc64le",
"product_id": "nodejs14-devel-14.18.1-15.21.2.ppc64le"
}
},
{
"category": "product_version",
"name": "npm14-14.18.1-15.21.2.ppc64le",
"product": {
"name": "npm14-14.18.1-15.21.2.ppc64le",
"product_id": "npm14-14.18.1-15.21.2.ppc64le"
}
}
],
"category": "architecture",
"name": "ppc64le"
},
{
"branches": [
{
"category": "product_version",
"name": "nodejs14-14.18.1-15.21.2.s390x",
"product": {
"name": "nodejs14-14.18.1-15.21.2.s390x",
"product_id": "nodejs14-14.18.1-15.21.2.s390x"
}
},
{
"category": "product_version",
"name": "nodejs14-devel-14.18.1-15.21.2.s390x",
"product": {
"name": "nodejs14-devel-14.18.1-15.21.2.s390x",
"product_id": "nodejs14-devel-14.18.1-15.21.2.s390x"
}
},
{
"category": "product_version",
"name": "npm14-14.18.1-15.21.2.s390x",
"product": {
"name": "npm14-14.18.1-15.21.2.s390x",
"product_id": "npm14-14.18.1-15.21.2.s390x"
}
}
],
"category": "architecture",
"name": "s390x"
},
{
"branches": [
{
"category": "product_version",
"name": "nodejs14-14.18.1-15.21.2.x86_64",
"product": {
"name": "nodejs14-14.18.1-15.21.2.x86_64",
"product_id": "nodejs14-14.18.1-15.21.2.x86_64"
}
},
{
"category": "product_version",
"name": "nodejs14-devel-14.18.1-15.21.2.x86_64",
"product": {
"name": "nodejs14-devel-14.18.1-15.21.2.x86_64",
"product_id": "nodejs14-devel-14.18.1-15.21.2.x86_64"
}
},
{
"category": "product_version",
"name": "npm14-14.18.1-15.21.2.x86_64",
"product": {
"name": "npm14-14.18.1-15.21.2.x86_64",
"product_id": "npm14-14.18.1-15.21.2.x86_64"
}
}
],
"category": "architecture",
"name": "x86_64"
},
{
"branches": [
{
"category": "product_name",
"name": "openSUSE Leap 15.3",
"product": {
"name": "openSUSE Leap 15.3",
"product_id": "openSUSE Leap 15.3",
"product_identification_helper": {
"cpe": "cpe:/o:opensuse:leap:15.3"
}
}
}
],
"category": "product_family",
"name": "SUSE Linux Enterprise"
}
],
"category": "vendor",
"name": "SUSE"
}
],
"relationships": [
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs14-14.18.1-15.21.2.aarch64 as component of openSUSE Leap 15.3",
"product_id": "openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.aarch64"
},
"product_reference": "nodejs14-14.18.1-15.21.2.aarch64",
"relates_to_product_reference": "openSUSE Leap 15.3"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs14-14.18.1-15.21.2.ppc64le as component of openSUSE Leap 15.3",
"product_id": "openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.ppc64le"
},
"product_reference": "nodejs14-14.18.1-15.21.2.ppc64le",
"relates_to_product_reference": "openSUSE Leap 15.3"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs14-14.18.1-15.21.2.s390x as component of openSUSE Leap 15.3",
"product_id": "openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.s390x"
},
"product_reference": "nodejs14-14.18.1-15.21.2.s390x",
"relates_to_product_reference": "openSUSE Leap 15.3"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs14-14.18.1-15.21.2.x86_64 as component of openSUSE Leap 15.3",
"product_id": "openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.x86_64"
},
"product_reference": "nodejs14-14.18.1-15.21.2.x86_64",
"relates_to_product_reference": "openSUSE Leap 15.3"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs14-devel-14.18.1-15.21.2.aarch64 as component of openSUSE Leap 15.3",
"product_id": "openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.aarch64"
},
"product_reference": "nodejs14-devel-14.18.1-15.21.2.aarch64",
"relates_to_product_reference": "openSUSE Leap 15.3"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs14-devel-14.18.1-15.21.2.ppc64le as component of openSUSE Leap 15.3",
"product_id": "openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.ppc64le"
},
"product_reference": "nodejs14-devel-14.18.1-15.21.2.ppc64le",
"relates_to_product_reference": "openSUSE Leap 15.3"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs14-devel-14.18.1-15.21.2.s390x as component of openSUSE Leap 15.3",
"product_id": "openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.s390x"
},
"product_reference": "nodejs14-devel-14.18.1-15.21.2.s390x",
"relates_to_product_reference": "openSUSE Leap 15.3"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs14-devel-14.18.1-15.21.2.x86_64 as component of openSUSE Leap 15.3",
"product_id": "openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.x86_64"
},
"product_reference": "nodejs14-devel-14.18.1-15.21.2.x86_64",
"relates_to_product_reference": "openSUSE Leap 15.3"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "nodejs14-docs-14.18.1-15.21.2.noarch as component of openSUSE Leap 15.3",
"product_id": "openSUSE Leap 15.3:nodejs14-docs-14.18.1-15.21.2.noarch"
},
"product_reference": "nodejs14-docs-14.18.1-15.21.2.noarch",
"relates_to_product_reference": "openSUSE Leap 15.3"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "npm14-14.18.1-15.21.2.aarch64 as component of openSUSE Leap 15.3",
"product_id": "openSUSE Leap 15.3:npm14-14.18.1-15.21.2.aarch64"
},
"product_reference": "npm14-14.18.1-15.21.2.aarch64",
"relates_to_product_reference": "openSUSE Leap 15.3"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "npm14-14.18.1-15.21.2.ppc64le as component of openSUSE Leap 15.3",
"product_id": "openSUSE Leap 15.3:npm14-14.18.1-15.21.2.ppc64le"
},
"product_reference": "npm14-14.18.1-15.21.2.ppc64le",
"relates_to_product_reference": "openSUSE Leap 15.3"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "npm14-14.18.1-15.21.2.s390x as component of openSUSE Leap 15.3",
"product_id": "openSUSE Leap 15.3:npm14-14.18.1-15.21.2.s390x"
},
"product_reference": "npm14-14.18.1-15.21.2.s390x",
"relates_to_product_reference": "openSUSE Leap 15.3"
},
{
"category": "default_component_of",
"full_product_name": {
"name": "npm14-14.18.1-15.21.2.x86_64 as component of openSUSE Leap 15.3",
"product_id": "openSUSE Leap 15.3:npm14-14.18.1-15.21.2.x86_64"
},
"product_reference": "npm14-14.18.1-15.21.2.x86_64",
"relates_to_product_reference": "openSUSE Leap 15.3"
}
]
},
"vulnerabilities": [
{
"cve": "CVE-2021-22959",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-22959"
}
],
"notes": [
{
"category": "general",
"text": "The parser in accepts requests with a space (SP) right after the header name before the colon. This can lead to HTTP Request Smuggling (HRS) in llhttp \u003c v2.1.4 and \u003c v6.0.6.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.x86_64",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.x86_64",
"openSUSE Leap 15.3:nodejs14-docs-14.18.1-15.21.2.noarch",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-22959",
"url": "https://www.suse.com/security/cve/CVE-2021-22959"
},
{
"category": "external",
"summary": "SUSE Bug 1191601 for CVE-2021-22959",
"url": "https://bugzilla.suse.com/1191601"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.x86_64",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.x86_64",
"openSUSE Leap 15.3:nodejs14-docs-14.18.1-15.21.2.noarch",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 6.1,
"baseSeverity": "MEDIUM",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N",
"version": "3.1"
},
"products": [
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.x86_64",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.x86_64",
"openSUSE Leap 15.3:nodejs14-docs-14.18.1-15.21.2.noarch",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2021-12-07T07:57:43Z",
"details": "moderate"
}
],
"title": "CVE-2021-22959"
},
{
"cve": "CVE-2021-22960",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-22960"
}
],
"notes": [
{
"category": "general",
"text": "The parse function in llhttp \u003c 2.1.4 and \u003c 6.0.6. ignores chunk extensions when parsing the body of chunked requests. This leads to HTTP Request Smuggling (HRS) under certain conditions.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.x86_64",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.x86_64",
"openSUSE Leap 15.3:nodejs14-docs-14.18.1-15.21.2.noarch",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-22960",
"url": "https://www.suse.com/security/cve/CVE-2021-22960"
},
{
"category": "external",
"summary": "SUSE Bug 1191602 for CVE-2021-22960",
"url": "https://bugzilla.suse.com/1191602"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.x86_64",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.x86_64",
"openSUSE Leap 15.3:nodejs14-docs-14.18.1-15.21.2.noarch",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 6.1,
"baseSeverity": "MEDIUM",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N",
"version": "3.1"
},
"products": [
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.x86_64",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.x86_64",
"openSUSE Leap 15.3:nodejs14-docs-14.18.1-15.21.2.noarch",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2021-12-07T07:57:43Z",
"details": "moderate"
}
],
"title": "CVE-2021-22960"
},
{
"cve": "CVE-2021-37701",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-37701"
}
],
"notes": [
{
"category": "general",
"text": "The npm package \"tar\" (aka node-tar) before versions 4.4.16, 5.0.8, and 6.1.7 has an arbitrary file creation/overwrite and arbitrary code execution vulnerability. node-tar aims to guarantee that any file whose location would be modified by a symbolic link is not extracted. This is, in part, achieved by ensuring that extracted directories are not symlinks. Additionally, in order to prevent unnecessary stat calls to determine whether a given path is a directory, paths are cached when directories are created. This logic was insufficient when extracting tar files that contained both a directory and a symlink with the same name as the directory, where the symlink and directory names in the archive entry used backslashes as a path separator on posix systems. The cache checking logic used both `\\` and `/` characters as path separators, however `\\` is a valid filename character on posix systems. By first creating a directory, and then replacing that directory with a symlink, it was thus possible to bypass node-tar symlink checks on directories, essentially allowing an untrusted tar file to symlink into an arbitrary location and subsequently extracting arbitrary files into that location, thus allowing arbitrary file creation and overwrite. Additionally, a similar confusion could arise on case-insensitive filesystems. If a tar archive contained a directory at `FOO`, followed by a symbolic link named `foo`, then on case-insensitive file systems, the creation of the symbolic link would remove the directory from the filesystem, but _not_ from the internal directory cache, as it would not be treated as a cache hit. A subsequent file entry within the `FOO` directory would then be placed in the target of the symbolic link, thinking that the directory had already been created. These issues were addressed in releases 4.4.16, 5.0.8 and 6.1.7. The v3 branch of node-tar has been deprecated and did not receive patches for these issues. If you are still using a v3 release we recommend you update to a more recent version of node-tar. If this is not possible, a workaround is available in the referenced GHSA-9r2w-394v-53qc.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.x86_64",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.x86_64",
"openSUSE Leap 15.3:nodejs14-docs-14.18.1-15.21.2.noarch",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-37701",
"url": "https://www.suse.com/security/cve/CVE-2021-37701"
},
{
"category": "external",
"summary": "SUSE Bug 1190057 for CVE-2021-37701",
"url": "https://bugzilla.suse.com/1190057"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.x86_64",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.x86_64",
"openSUSE Leap 15.3:nodejs14-docs-14.18.1-15.21.2.noarch",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 8.1,
"baseSeverity": "HIGH",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H",
"version": "3.1"
},
"products": [
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.x86_64",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.x86_64",
"openSUSE Leap 15.3:nodejs14-docs-14.18.1-15.21.2.noarch",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2021-12-07T07:57:43Z",
"details": "important"
}
],
"title": "CVE-2021-37701"
},
{
"cve": "CVE-2021-37712",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-37712"
}
],
"notes": [
{
"category": "general",
"text": "The npm package \"tar\" (aka node-tar) before versions 4.4.18, 5.0.10, and 6.1.9 has an arbitrary file creation/overwrite and arbitrary code execution vulnerability. node-tar aims to guarantee that any file whose location would be modified by a symbolic link is not extracted. This is, in part, achieved by ensuring that extracted directories are not symlinks. Additionally, in order to prevent unnecessary stat calls to determine whether a given path is a directory, paths are cached when directories are created. This logic was insufficient when extracting tar files that contained both a directory and a symlink with names containing unicode values that normalized to the same value. Additionally, on Windows systems, long path portions would resolve to the same file system entities as their 8.3 \"short path\" counterparts. A specially crafted tar archive could thus include a directory with one form of the path, followed by a symbolic link with a different string that resolves to the same file system entity, followed by a file using the first form. By first creating a directory, and then replacing that directory with a symlink that had a different apparent name that resolved to the same entry in the filesystem, it was thus possible to bypass node-tar symlink checks on directories, essentially allowing an untrusted tar file to symlink into an arbitrary location and subsequently extracting arbitrary files into that location, thus allowing arbitrary file creation and overwrite. These issues were addressed in releases 4.4.18, 5.0.10 and 6.1.9. The v3 branch of node-tar has been deprecated and did not receive patches for these issues. If you are still using a v3 release we recommend you update to a more recent version of node-tar. If this is not possible, a workaround is available in the referenced GHSA-qq89-hq3f-393p.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.x86_64",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.x86_64",
"openSUSE Leap 15.3:nodejs14-docs-14.18.1-15.21.2.noarch",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-37712",
"url": "https://www.suse.com/security/cve/CVE-2021-37712"
},
{
"category": "external",
"summary": "SUSE Bug 1190056 for CVE-2021-37712",
"url": "https://bugzilla.suse.com/1190056"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.x86_64",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.x86_64",
"openSUSE Leap 15.3:nodejs14-docs-14.18.1-15.21.2.noarch",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 8.1,
"baseSeverity": "HIGH",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H",
"version": "3.1"
},
"products": [
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.x86_64",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.x86_64",
"openSUSE Leap 15.3:nodejs14-docs-14.18.1-15.21.2.noarch",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2021-12-07T07:57:43Z",
"details": "important"
}
],
"title": "CVE-2021-37712"
},
{
"cve": "CVE-2021-37713",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-37713"
}
],
"notes": [
{
"category": "general",
"text": "The npm package \"tar\" (aka node-tar) before versions 4.4.18, 5.0.10, and 6.1.9 has an arbitrary file creation/overwrite and arbitrary code execution vulnerability. node-tar aims to guarantee that any file whose location would be outside of the extraction target directory is not extracted. This is, in part, accomplished by sanitizing absolute paths of entries within the archive, skipping archive entries that contain `..` path portions, and resolving the sanitized paths against the extraction target directory. This logic was insufficient on Windows systems when extracting tar files that contained a path that was not an absolute path, but specified a drive letter different from the extraction target, such as `C:some\\path`. If the drive letter does not match the extraction target, for example `D:\\extraction\\dir`, then the result of `path.resolve(extractionDirectory, entryPath)` would resolve against the current working directory on the `C:` drive, rather than the extraction target directory. Additionally, a `..` portion of the path could occur immediately after the drive letter, such as `C:../foo`, and was not properly sanitized by the logic that checked for `..` within the normalized and split portions of the path. This only affects users of `node-tar` on Windows systems. These issues were addressed in releases 4.4.18, 5.0.10 and 6.1.9. The v3 branch of node-tar has been deprecated and did not receive patches for these issues. If you are still using a v3 release we recommend you update to a more recent version of node-tar. There is no reasonable way to work around this issue without performing the same path normalization procedures that node-tar now does. Users are encouraged to upgrade to the latest patched versions of node-tar, rather than attempt to sanitize paths themselves.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.x86_64",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.x86_64",
"openSUSE Leap 15.3:nodejs14-docs-14.18.1-15.21.2.noarch",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-37713",
"url": "https://www.suse.com/security/cve/CVE-2021-37713"
},
{
"category": "external",
"summary": "SUSE Bug 1190055 for CVE-2021-37713",
"url": "https://bugzilla.suse.com/1190055"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.x86_64",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.x86_64",
"openSUSE Leap 15.3:nodejs14-docs-14.18.1-15.21.2.noarch",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 8.2,
"baseSeverity": "HIGH",
"vectorString": "CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N",
"version": "3.1"
},
"products": [
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.x86_64",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.x86_64",
"openSUSE Leap 15.3:nodejs14-docs-14.18.1-15.21.2.noarch",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2021-12-07T07:57:43Z",
"details": "important"
}
],
"title": "CVE-2021-37713"
},
{
"cve": "CVE-2021-39134",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-39134"
}
],
"notes": [
{
"category": "general",
"text": "`@npmcli/arborist`, the library that calculates dependency trees and manages the `node_modules` folder hierarchy for the npm command line interface, aims to guarantee that package dependency contracts will be met, and the extraction of package contents will always be performed into the expected folder. This is, in part, accomplished by resolving dependency specifiers defined in `package.json` manifests for dependencies with a specific name, and nesting folders to resolve conflicting dependencies. When multiple dependencies differ only in the case of their name, Arborist\u0027s internal data structure saw them as separate items that could coexist within the same level in the `node_modules` hierarchy. However, on case-insensitive file systems (such as macOS and Windows), this is not the case. Combined with a symlink dependency such as `file:/some/path`, this allowed an attacker to create a situation in which arbitrary contents could be written to any location on the filesystem. For example, a package `pwn-a` could define a dependency in their `package.json` file such as `\"foo\": \"file:/some/path\"`. Another package, `pwn-b` could define a dependency such as `FOO: \"file:foo.tgz\"`. On case-insensitive file systems, if `pwn-a` was installed, and then `pwn-b` was installed afterwards, the contents of `foo.tgz` would be written to `/some/path`, and any existing contents of `/some/path` would be removed. Anyone using npm v7.20.6 or earlier on a case-insensitive filesystem is potentially affected. This is patched in @npmcli/arborist 2.8.2 which is included in npm v7.20.7 and above.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.x86_64",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.x86_64",
"openSUSE Leap 15.3:nodejs14-docs-14.18.1-15.21.2.noarch",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-39134",
"url": "https://www.suse.com/security/cve/CVE-2021-39134"
},
{
"category": "external",
"summary": "SUSE Bug 1190054 for CVE-2021-39134",
"url": "https://bugzilla.suse.com/1190054"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.x86_64",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.x86_64",
"openSUSE Leap 15.3:nodejs14-docs-14.18.1-15.21.2.noarch",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 8.1,
"baseSeverity": "HIGH",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H",
"version": "3.1"
},
"products": [
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.x86_64",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.x86_64",
"openSUSE Leap 15.3:nodejs14-docs-14.18.1-15.21.2.noarch",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2021-12-07T07:57:43Z",
"details": "important"
}
],
"title": "CVE-2021-39134"
},
{
"cve": "CVE-2021-39135",
"ids": [
{
"system_name": "SUSE CVE Page",
"text": "https://www.suse.com/security/cve/CVE-2021-39135"
}
],
"notes": [
{
"category": "general",
"text": "`@npmcli/arborist`, the library that calculates dependency trees and manages the node_modules folder hierarchy for the npm command line interface, aims to guarantee that package dependency contracts will be met, and the extraction of package contents will always be performed into the expected folder. This is accomplished by extracting package contents into a project\u0027s `node_modules` folder. If the `node_modules` folder of the root project or any of its dependencies is somehow replaced with a symbolic link, it could allow Arborist to write package dependencies to any arbitrary location on the file system. Note that symbolic links contained within package artifact contents are filtered out, so another means of creating a `node_modules` symbolic link would have to be employed. 1. A `preinstall` script could replace `node_modules` with a symlink. (This is prevented by using `--ignore-scripts`.) 2. An attacker could supply the target with a git repository, instructing them to run `npm install --ignore-scripts` in the root. This may be successful, because `npm install --ignore-scripts` is typically not capable of making changes outside of the project directory, so it may be deemed safe. This is patched in @npmcli/arborist 2.8.2 which is included in npm v7.20.7 and above. For more information including workarounds please see the referenced GHSA-gmw6-94gg-2rc2.",
"title": "CVE description"
}
],
"product_status": {
"recommended": [
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.x86_64",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.x86_64",
"openSUSE Leap 15.3:nodejs14-docs-14.18.1-15.21.2.noarch",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.x86_64"
]
},
"references": [
{
"category": "external",
"summary": "CVE-2021-39135",
"url": "https://www.suse.com/security/cve/CVE-2021-39135"
},
{
"category": "external",
"summary": "SUSE Bug 1190053 for CVE-2021-39135",
"url": "https://bugzilla.suse.com/1190053"
}
],
"remediations": [
{
"category": "vendor_fix",
"details": "To install this SUSE Security Update use the SUSE recommended installation methods like YaST online_update or \"zypper patch\".\n",
"product_ids": [
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.x86_64",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.x86_64",
"openSUSE Leap 15.3:nodejs14-docs-14.18.1-15.21.2.noarch",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.x86_64"
]
}
],
"scores": [
{
"cvss_v3": {
"baseScore": 8.1,
"baseSeverity": "HIGH",
"vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H",
"version": "3.1"
},
"products": [
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:nodejs14-14.18.1-15.21.2.x86_64",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:nodejs14-devel-14.18.1-15.21.2.x86_64",
"openSUSE Leap 15.3:nodejs14-docs-14.18.1-15.21.2.noarch",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.aarch64",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.ppc64le",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.s390x",
"openSUSE Leap 15.3:npm14-14.18.1-15.21.2.x86_64"
]
}
],
"threats": [
{
"category": "impact",
"date": "2021-12-07T07:57:43Z",
"details": "important"
}
],
"title": "CVE-2021-39135"
}
]
}
wid-sec-w-2023-0809
Vulnerability from csaf_certbund
Published
2023-03-30 22:00
Modified
2024-02-19 23:00
Summary
IBM QRadar SIEM: Mehrere Schwachstellen
Notes
Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.
Produktbeschreibung
IBM QRadar Security Information and Event Management (SIEM) bietet Unterstützung bei der Erkennung und Priorisierung von Sicherheitsbedrohungen im Unternehmen.
Angriff
Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in IBM QRadar SIEM ausnutzen, um beliebigen Programmcode auszuführen, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuführen, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuführen oder unbekannte Auswirkungen zu verursachen.
Betroffene Betriebssysteme
- Linux
{
"document": {
"aggregate_severity": {
"text": "hoch"
},
"category": "csaf_base",
"csaf_version": "2.0",
"distribution": {
"tlp": {
"label": "WHITE",
"url": "https://www.first.org/tlp/"
}
},
"lang": "de-DE",
"notes": [
{
"category": "legal_disclaimer",
"text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
},
{
"category": "description",
"text": "IBM QRadar Security Information and Event Management (SIEM) bietet Unterst\u00fctzung bei der Erkennung und Priorisierung von Sicherheitsbedrohungen im Unternehmen.",
"title": "Produktbeschreibung"
},
{
"category": "summary",
"text": "Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in IBM QRadar SIEM ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen.",
"title": "Angriff"
},
{
"category": "general",
"text": "- Linux",
"title": "Betroffene Betriebssysteme"
}
],
"publisher": {
"category": "other",
"contact_details": "csaf-provider@cert-bund.de",
"name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
"namespace": "https://www.bsi.bund.de"
},
"references": [
{
"category": "self",
"summary": "WID-SEC-W-2023-0809 - CSAF Version",
"url": "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-0809.json"
},
{
"category": "self",
"summary": "WID-SEC-2023-0809 - Portal Version",
"url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-0809"
},
{
"category": "external",
"summary": "IBM Security Bulletin: 6967283 vom 2023-03-30",
"url": "https://www.ibm.com/support/pages/node/6967283"
},
{
"category": "external",
"summary": "IBM Security Bulletin: 6967333 vom 2023-03-30",
"url": "https://www.ibm.com/support/pages/node/6967333"
},
{
"category": "external",
"summary": "IBM Security Bulletin 6980799 vom 2023-04-04",
"url": "https://www.ibm.com/support/pages/node/6980799"
},
{
"category": "external",
"summary": "IBM Security Bulletin 7108657 vom 2024-01-17",
"url": "https://www.ibm.com/support/pages/node/7108657"
},
{
"category": "external",
"summary": "Fedora Security Advisory FEDORA-2024-5ECC250449 vom 2024-02-19",
"url": "https://bodhi.fedoraproject.org/updates/FEDORA-2024-5ecc250449"
}
],
"source_lang": "en-US",
"title": "IBM QRadar SIEM: Mehrere Schwachstellen",
"tracking": {
"current_release_date": "2024-02-19T23:00:00.000+00:00",
"generator": {
"date": "2024-08-15T17:47:38.606+00:00",
"engine": {
"name": "BSI-WID",
"version": "1.3.5"
}
},
"id": "WID-SEC-W-2023-0809",
"initial_release_date": "2023-03-30T22:00:00.000+00:00",
"revision_history": [
{
"date": "2023-03-30T22:00:00.000+00:00",
"number": "1",
"summary": "Initiale Fassung"
},
{
"date": "2023-04-04T22:00:00.000+00:00",
"number": "2",
"summary": "Neue Updates von IBM aufgenommen"
},
{
"date": "2024-01-16T23:00:00.000+00:00",
"number": "3",
"summary": "Neue Updates von IBM aufgenommen"
},
{
"date": "2024-02-19T23:00:00.000+00:00",
"number": "4",
"summary": "Neue Updates von Fedora aufgenommen"
}
],
"status": "final",
"version": "4"
}
},
"product_tree": {
"branches": [
{
"branches": [
{
"category": "product_name",
"name": "Fedora Linux",
"product": {
"name": "Fedora Linux",
"product_id": "74185",
"product_identification_helper": {
"cpe": "cpe:/o:fedoraproject:fedora:-"
}
}
}
],
"category": "vendor",
"name": "Fedora"
},
{
"branches": [
{
"branches": [
{
"category": "product_version",
"name": "7.5",
"product": {
"name": "IBM QRadar SIEM 7.5",
"product_id": "T022954",
"product_identification_helper": {
"cpe": "cpe:/a:ibm:qradar_siem:7.5"
}
}
},
{
"category": "product_version_range",
"name": "\u003c User Behavior Analytics 4.1.11",
"product": {
"name": "IBM QRadar SIEM \u003c User Behavior Analytics 4.1.11",
"product_id": "T027026"
}
},
{
"category": "product_version_range",
"name": "\u003c 7.4.3 FP9",
"product": {
"name": "IBM QRadar SIEM \u003c 7.4.3 FP9",
"product_id": "T027027"
}
},
{
"category": "product_version_range",
"name": "\u003c 7.5.0 UP5",
"product": {
"name": "IBM QRadar SIEM \u003c 7.5.0 UP5",
"product_id": "T027028"
}
}
],
"category": "product_name",
"name": "QRadar SIEM"
}
],
"category": "vendor",
"name": "IBM"
}
]
},
"vulnerabilities": [
{
"cve": "CVE-2023-22809",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2023-22809"
},
{
"cve": "CVE-2022-4883",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2022-4883"
},
{
"cve": "CVE-2022-46364",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2022-46364"
},
{
"cve": "CVE-2022-46363",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2022-46363"
},
{
"cve": "CVE-2022-45143",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2022-45143"
},
{
"cve": "CVE-2022-42890",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2022-42890"
},
{
"cve": "CVE-2022-4254",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2022-4254"
},
{
"cve": "CVE-2022-42252",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2022-42252"
},
{
"cve": "CVE-2022-41966",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2022-41966"
},
{
"cve": "CVE-2022-41946",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2022-41946"
},
{
"cve": "CVE-2022-41704",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2022-41704"
},
{
"cve": "CVE-2022-40156",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2022-40156"
},
{
"cve": "CVE-2022-40155",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2022-40155"
},
{
"cve": "CVE-2022-40154",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2022-40154"
},
{
"cve": "CVE-2022-40153",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2022-40153"
},
{
"cve": "CVE-2022-40152",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2022-40152"
},
{
"cve": "CVE-2022-40150",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2022-40150"
},
{
"cve": "CVE-2022-40149",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2022-40149"
},
{
"cve": "CVE-2022-37603",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2022-37603"
},
{
"cve": "CVE-2022-37601",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2022-37601"
},
{
"cve": "CVE-2022-37599",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2022-37599"
},
{
"cve": "CVE-2022-37598",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2022-37598"
},
{
"cve": "CVE-2022-3676",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2022-3676"
},
{
"cve": "CVE-2022-36364",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2022-36364"
},
{
"cve": "CVE-2022-36033",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2022-36033"
},
{
"cve": "CVE-2022-34917",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2022-34917"
},
{
"cve": "CVE-2022-31197",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2022-31197"
},
{
"cve": "CVE-2022-31129",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2022-31129"
},
{
"cve": "CVE-2022-2964",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2022-2964"
},
{
"cve": "CVE-2022-28733",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2022-28733"
},
{
"cve": "CVE-2022-2795",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2022-2795"
},
{
"cve": "CVE-2022-25927",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2022-25927"
},
{
"cve": "CVE-2022-25901",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2022-25901"
},
{
"cve": "CVE-2022-25758",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2022-25758"
},
{
"cve": "CVE-2022-25647",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2022-25647"
},
{
"cve": "CVE-2022-24999",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2022-24999"
},
{
"cve": "CVE-2022-24839",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2022-24839"
},
{
"cve": "CVE-2022-24823",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2022-24823"
},
{
"cve": "CVE-2022-24785",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2022-24785"
},
{
"cve": "CVE-2022-23437",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2022-23437"
},
{
"cve": "CVE-2022-22971",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2022-22971"
},
{
"cve": "CVE-2022-22970",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2022-22970"
},
{
"cve": "CVE-2022-21724",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2022-21724"
},
{
"cve": "CVE-2022-21628",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2022-21628"
},
{
"cve": "CVE-2022-21626",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2022-21626"
},
{
"cve": "CVE-2022-21624",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2022-21624"
},
{
"cve": "CVE-2022-21619",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2022-21619"
},
{
"cve": "CVE-2021-43797",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2021-43797"
},
{
"cve": "CVE-2021-42740",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2021-42740"
},
{
"cve": "CVE-2021-42581",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2021-42581"
},
{
"cve": "CVE-2021-39227",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2021-39227"
},
{
"cve": "CVE-2021-3918",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2021-3918"
},
{
"cve": "CVE-2021-3807",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2021-3807"
},
{
"cve": "CVE-2021-37713",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2021-37713"
},
{
"cve": "CVE-2021-37712",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2021-37712"
},
{
"cve": "CVE-2021-37701",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2021-37701"
},
{
"cve": "CVE-2021-3765",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2021-3765"
},
{
"cve": "CVE-2021-37137",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2021-37137"
},
{
"cve": "CVE-2021-37136",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2021-37136"
},
{
"cve": "CVE-2021-32804",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2021-32804"
},
{
"cve": "CVE-2021-32803",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2021-32803"
},
{
"cve": "CVE-2021-29060",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2021-29060"
},
{
"cve": "CVE-2021-26401",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2021-26401"
},
{
"cve": "CVE-2021-25220",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2021-25220"
},
{
"cve": "CVE-2021-23450",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2021-23450"
},
{
"cve": "CVE-2021-23382",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2021-23382"
},
{
"cve": "CVE-2021-23368",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2021-23368"
},
{
"cve": "CVE-2021-23364",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2021-23364"
},
{
"cve": "CVE-2021-23362",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2021-23362"
},
{
"cve": "CVE-2021-23343",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2021-23343"
},
{
"cve": "CVE-2021-21409",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2021-21409"
},
{
"cve": "CVE-2021-21295",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2021-21295"
},
{
"cve": "CVE-2021-21290",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2021-21290"
},
{
"cve": "CVE-2020-7764",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2020-7764"
},
{
"cve": "CVE-2020-5259",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2020-5259"
},
{
"cve": "CVE-2020-24025",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2020-24025"
},
{
"cve": "CVE-2020-15366",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2020-15366"
},
{
"cve": "CVE-2020-13936",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2020-13936"
},
{
"cve": "CVE-2019-6286",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2019-6286"
},
{
"cve": "CVE-2019-6284",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2019-6284"
},
{
"cve": "CVE-2019-6283",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2019-6283"
},
{
"cve": "CVE-2019-10785",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2019-10785"
},
{
"cve": "CVE-2018-8036",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2018-8036"
},
{
"cve": "CVE-2018-20821",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2018-20821"
},
{
"cve": "CVE-2018-20190",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2018-20190"
},
{
"cve": "CVE-2018-19839",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2018-19839"
},
{
"cve": "CVE-2018-19838",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2018-19838"
},
{
"cve": "CVE-2018-19827",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2018-19827"
},
{
"cve": "CVE-2018-19797",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2018-19797"
},
{
"cve": "CVE-2018-15494",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2018-15494"
},
{
"cve": "CVE-2018-11698",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2018-11698"
},
{
"cve": "CVE-2018-11694",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Diese bestehen in verschiedenen Software-Komponenten von QRadar. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um beliebigen Programmcode auszuf\u00fchren, Informationen offenzulegen, Informationen falsch darzustellen, einen Denial of Service Zustand herbeizuf\u00fchren, Sicherheitsvorkehrungen zu umgehen, einen Cross-Site-Scripting-Angriff durchzuf\u00fchren oder unbekannte Auswirkungen zu verursachen."
}
],
"product_status": {
"known_affected": [
"T022954",
"74185"
]
},
"release_date": "2023-03-30T22:00:00.000+00:00",
"title": "CVE-2018-11694"
}
]
}
wid-sec-w-2022-0092
Vulnerability from csaf_certbund
Published
2021-08-31 22:00
Modified
2024-05-09 22:00
Summary
Node.js: Mehrere Schwachstellen ermöglichen Manipulation von Dateien
Notes
Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.
Produktbeschreibung
Node.js ist eine Plattform zur Entwicklung von Netzwerkanwendungen.
Angriff
Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Node.js ausnutzen, um Dateien zu manipulieren.
Betroffene Betriebssysteme
- Linux
- MacOS X
- Sonstiges
- UNIX
- Windows
{
"document": {
"aggregate_severity": {
"text": "hoch"
},
"category": "csaf_base",
"csaf_version": "2.0",
"distribution": {
"tlp": {
"label": "WHITE",
"url": "https://www.first.org/tlp/"
}
},
"lang": "de-DE",
"notes": [
{
"category": "legal_disclaimer",
"text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
},
{
"category": "description",
"text": "Node.js ist eine Plattform zur Entwicklung von Netzwerkanwendungen.",
"title": "Produktbeschreibung"
},
{
"category": "summary",
"text": "Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Node.js ausnutzen, um Dateien zu manipulieren.",
"title": "Angriff"
},
{
"category": "general",
"text": "- Linux\n- MacOS X\n- Sonstiges\n- UNIX\n- Windows",
"title": "Betroffene Betriebssysteme"
}
],
"publisher": {
"category": "other",
"contact_details": "csaf-provider@cert-bund.de",
"name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
"namespace": "https://www.bsi.bund.de"
},
"references": [
{
"category": "self",
"summary": "WID-SEC-W-2022-0092 - CSAF Version",
"url": "https://wid.cert-bund.de/.well-known/csaf/white/2021/wid-sec-w-2022-0092.json"
},
{
"category": "self",
"summary": "WID-SEC-2022-0092 - Portal Version",
"url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2022-0092"
},
{
"category": "external",
"summary": "NodeJs Security Release vom 2021-08-31",
"url": "https://nodejs.org/en/blog/vulnerability/aug-2021-security-releases2/"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2021:3638 vom 2021-09-22",
"url": "https://access.redhat.com/errata/RHSA-2021:3638"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2021:3639 vom 2021-09-22",
"url": "https://access.redhat.com/errata/RHSA-2021:3639"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2021:3623 vom 2021-09-21",
"url": "https://access.redhat.com/errata/RHSA-2021:3623"
},
{
"category": "external",
"summary": "Oracle Linux Security Advisory ELSA-2021-3623 vom 2021-09-22",
"url": "http://linux.oracle.com/errata/ELSA-2021-3623.html"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2021:3666 vom 2021-09-28",
"url": "https://access.redhat.com/errata/RHSA-2021:3666"
},
{
"category": "external",
"summary": "Oracle Linux Security Advisory ELSA-2021-3666 vom 2021-09-28",
"url": "http://linux.oracle.com/errata/ELSA-2021-3666.html"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2021:4618 vom 2021-11-11",
"url": "https://access.redhat.com/errata/RHSA-2021:4618"
},
{
"category": "external",
"summary": "Debian Security Advisory DSA-5008 vom 2021-11-12",
"url": "https://www.debian.org/security/2021/dsa-5008"
},
{
"category": "external",
"summary": "SUSE Security Update SUSE-SU-2021:3886-1 vom 2021-12-02",
"url": "https://lists.suse.com/pipermail/sle-security-updates/2021-December/009816.html"
},
{
"category": "external",
"summary": "SUSE Security Update SUSE-SU-2021:3940-1 vom 2021-12-06",
"url": "https://lists.suse.com/pipermail/sle-security-updates/2021-December/009853.html"
},
{
"category": "external",
"summary": "SUSE Security Update SUSE-SU-2021:3964-1 vom 2021-12-07",
"url": "https://lists.suse.com/pipermail/sle-security-updates/2021-December/009869.html"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2021:5086 vom 2021-12-13",
"url": "https://access.redhat.com/errata/RHSA-2021:5086"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2022:0041 vom 2022-01-06",
"url": "https://access.redhat.com/errata/RHSA-2022:0041"
},
{
"category": "external",
"summary": "SUSE Security Update SUSE-SU-2022:0101-1 vom 2022-01-18",
"url": "https://lists.suse.com/pipermail/sle-security-updates/2022-January/010017.html"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2022:0246 vom 2022-01-25",
"url": "https://access.redhat.com/errata/RHSA-2022:0246"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2022:4914 vom 2022-06-06",
"url": "https://access.redhat.com/errata/RHSA-2022:4914"
},
{
"category": "external",
"summary": "Red Hat Security Advisory RHSA-2022:0350 vom 2022-02-02",
"url": "https://access.redhat.com/errata/RHSA-2022:0350"
},
{
"category": "external",
"summary": "Oracle Linux Security Advisory ELSA-2022-0350 vom 2022-02-02",
"url": "http://linux.oracle.com/errata/ELSA-2022-0350.html"
},
{
"category": "external",
"summary": "SUSE Security Update SUSE-SU-2022:1717-1 vom 2022-05-17",
"url": "https://lists.suse.com/pipermail/sle-security-updates/2022-May/011058.html"
},
{
"category": "external",
"summary": "SUSE Security Update SUSE-SU-2022:0531-1 vom 2022-02-21",
"url": "https://lists.suse.com/pipermail/sle-security-updates/2022-February/010279.html"
},
{
"category": "external",
"summary": "SUSE Security Update SUSE-SU-2022:0563-1 vom 2022-02-24",
"url": "https://lists.suse.com/pipermail/sle-security-updates/2022-February/010304.html"
},
{
"category": "external",
"summary": "SUSE Security Update SUSE-SU-2022:0569-1 vom 2022-02-24",
"url": "https://lists.suse.com/pipermail/sle-security-updates/2022-February/010307.html"
},
{
"category": "external",
"summary": "SUSE Security Update SUSE-SU-2022:0570-1 vom 2022-02-24",
"url": "https://lists.suse.com/pipermail/sle-security-updates/2022-February/010306.html"
},
{
"category": "external",
"summary": "SUSE Security Update SUSE-SU-2022:0657-1 vom 2022-03-02",
"url": "https://lists.suse.com/pipermail/sle-security-updates/2022-March/010326.html"
},
{
"category": "external",
"summary": "SUSE Security Update SUSE-SU-2022:0704-1 vom 2022-03-03",
"url": "https://lists.suse.com/pipermail/sle-security-updates/2022-March/010344.html"
},
{
"category": "external",
"summary": "SUSE Security Update SUSE-SU-2022:0715-1 vom 2022-03-04",
"url": "https://lists.suse.com/pipermail/sle-security-updates/2022-March/010355.html"
},
{
"category": "external",
"summary": "Debian Security Advisory DLA-3237 vom 2022-12-12",
"url": "https://lists.debian.org/debian-lts-announce/2022/12/msg00023.html"
},
{
"category": "external",
"summary": "Gentoo Linux Security Advisory GLSA-202405-29 vom 2024-05-08",
"url": "https://security.gentoo.org/glsa/202405-29"
}
],
"source_lang": "en-US",
"title": "Node.js: Mehrere Schwachstellen erm\u00f6glichen Manipulation von Dateien",
"tracking": {
"current_release_date": "2024-05-09T22:00:00.000+00:00",
"generator": {
"date": "2024-08-15T17:26:27.934+00:00",
"engine": {
"name": "BSI-WID",
"version": "1.3.5"
}
},
"id": "WID-SEC-W-2022-0092",
"initial_release_date": "2021-08-31T22:00:00.000+00:00",
"revision_history": [
{
"date": "2021-08-31T22:00:00.000+00:00",
"number": "1",
"summary": "Initiale Fassung"
},
{
"date": "2021-09-21T22:00:00.000+00:00",
"number": "2",
"summary": "Neue Updates von Red Hat aufgenommen"
},
{
"date": "2021-09-22T22:00:00.000+00:00",
"number": "3",
"summary": "Neue Updates von Oracle Linux aufgenommen"
},
{
"date": "2021-09-27T22:00:00.000+00:00",
"number": "4",
"summary": "Neue Updates von Red Hat und Oracle Linux aufgenommen"
},
{
"date": "2021-11-11T23:00:00.000+00:00",
"number": "5",
"summary": "Neue Updates von Red Hat aufgenommen"
},
{
"date": "2021-11-14T23:00:00.000+00:00",
"number": "6",
"summary": "Neue Updates von Debian aufgenommen"
},
{
"date": "2021-12-02T23:00:00.000+00:00",
"number": "7",
"summary": "Neue Updates von SUSE aufgenommen"
},
{
"date": "2021-12-06T23:00:00.000+00:00",
"number": "8",
"summary": "Neue Updates von SUSE aufgenommen"
},
{
"date": "2021-12-07T23:00:00.000+00:00",
"number": "9",
"summary": "Neue Updates von SUSE aufgenommen"
},
{
"date": "2021-12-13T23:00:00.000+00:00",
"number": "10",
"summary": "Neue Updates von Red Hat aufgenommen"
},
{
"date": "2022-01-06T23:00:00.000+00:00",
"number": "11",
"summary": "Neue Updates von Red Hat aufgenommen"
},
{
"date": "2022-01-18T23:00:00.000+00:00",
"number": "12",
"summary": "Neue Updates von SUSE aufgenommen"
},
{
"date": "2022-01-24T23:00:00.000+00:00",
"number": "13",
"summary": "Neue Updates von Red Hat aufgenommen"
},
{
"date": "2022-02-01T23:00:00.000+00:00",
"number": "14",
"summary": "Neue Updates von Red Hat aufgenommen"
},
{
"date": "2022-02-02T23:00:00.000+00:00",
"number": "15",
"summary": "Neue Updates von Oracle Linux aufgenommen"
},
{
"date": "2022-02-21T23:00:00.000+00:00",
"number": "16",
"summary": "Neue Updates von SUSE aufgenommen"
},
{
"date": "2022-02-24T23:00:00.000+00:00",
"number": "17",
"summary": "Neue Updates von SUSE aufgenommen"
},
{
"date": "2022-03-02T23:00:00.000+00:00",
"number": "18",
"summary": "Neue Updates von SUSE aufgenommen"
},
{
"date": "2022-03-03T23:00:00.000+00:00",
"number": "19",
"summary": "Neue Updates von SUSE aufgenommen"
},
{
"date": "2022-03-06T23:00:00.000+00:00",
"number": "20",
"summary": "Neue Updates von SUSE aufgenommen"
},
{
"date": "2022-05-17T22:00:00.000+00:00",
"number": "21",
"summary": "Neue Updates von SUSE aufgenommen"
},
{
"date": "2022-06-06T22:00:00.000+00:00",
"number": "22",
"summary": "Neue Updates von Red Hat aufgenommen"
},
{
"date": "2022-12-12T23:00:00.000+00:00",
"number": "23",
"summary": "Neue Updates von Debian aufgenommen"
},
{
"date": "2024-05-09T22:00:00.000+00:00",
"number": "24",
"summary": "Neue Updates von Gentoo aufgenommen"
}
],
"status": "final",
"version": "24"
}
},
"product_tree": {
"branches": [
{
"branches": [
{
"category": "product_name",
"name": "Debian Linux",
"product": {
"name": "Debian Linux",
"product_id": "2951",
"product_identification_helper": {
"cpe": "cpe:/o:debian:debian_linux:-"
}
}
}
],
"category": "vendor",
"name": "Debian"
},
{
"branches": [
{
"category": "product_name",
"name": "Gentoo Linux",
"product": {
"name": "Gentoo Linux",
"product_id": "T012167",
"product_identification_helper": {
"cpe": "cpe:/o:gentoo:linux:-"
}
}
}
],
"category": "vendor",
"name": "Gentoo"
},
{
"branches": [
{
"branches": [
{
"category": "product_version_range",
"name": "\u003cv12.22.6 (LTS)",
"product": {
"name": "Open Source Node.js \u003cv12.22.6 (LTS)",
"product_id": "T020280"
}
},
{
"category": "product_version_range",
"name": "\u003cv14.17.6 (LTS)",
"product": {
"name": "Open Source Node.js \u003cv14.17.6 (LTS)",
"product_id": "T020281"
}
}
],
"category": "product_name",
"name": "Node.js"
}
],
"category": "vendor",
"name": "Open Source"
},
{
"branches": [
{
"category": "product_name",
"name": "Oracle Linux",
"product": {
"name": "Oracle Linux",
"product_id": "T004914",
"product_identification_helper": {
"cpe": "cpe:/o:oracle:linux:-"
}
}
}
],
"category": "vendor",
"name": "Oracle"
},
{
"branches": [
{
"category": "product_name",
"name": "Red Hat Enterprise Linux",
"product": {
"name": "Red Hat Enterprise Linux",
"product_id": "67646",
"product_identification_helper": {
"cpe": "cpe:/o:redhat:enterprise_linux:-"
}
}
}
],
"category": "vendor",
"name": "Red Hat"
},
{
"branches": [
{
"category": "product_name",
"name": "SUSE Linux",
"product": {
"name": "SUSE Linux",
"product_id": "T002207",
"product_identification_helper": {
"cpe": "cpe:/o:suse:suse_linux:-"
}
}
}
],
"category": "vendor",
"name": "SUSE"
}
]
},
"vulnerabilities": [
{
"cve": "CVE-2021-32803",
"notes": [
{
"category": "description",
"text": "In Node.js existieren mehrere Schwachstellen. Die Schwachstellen bestehen in den Modulen \"tar\" und \"@npmcli/arborist\" und aufgrund von Symlink-Fehlern. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um Dateien zu manipulieren. Zur erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"2951",
"T002207",
"67646",
"T012167",
"T004914"
]
},
"release_date": "2021-08-31T22:00:00.000+00:00",
"title": "CVE-2021-32803"
},
{
"cve": "CVE-2021-32804",
"notes": [
{
"category": "description",
"text": "In Node.js existieren mehrere Schwachstellen. Die Schwachstellen bestehen in den Modulen \"tar\" und \"@npmcli/arborist\" und aufgrund von Symlink-Fehlern. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um Dateien zu manipulieren. Zur erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"2951",
"T002207",
"67646",
"T012167",
"T004914"
]
},
"release_date": "2021-08-31T22:00:00.000+00:00",
"title": "CVE-2021-32804"
},
{
"cve": "CVE-2021-37701",
"notes": [
{
"category": "description",
"text": "In Node.js existieren mehrere Schwachstellen. Die Schwachstellen bestehen in den Modulen \"tar\" und \"@npmcli/arborist\" und aufgrund von Symlink-Fehlern. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um Dateien zu manipulieren. Zur erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"2951",
"T002207",
"67646",
"T012167",
"T004914"
]
},
"release_date": "2021-08-31T22:00:00.000+00:00",
"title": "CVE-2021-37701"
},
{
"cve": "CVE-2021-37712",
"notes": [
{
"category": "description",
"text": "In Node.js existieren mehrere Schwachstellen. Die Schwachstellen bestehen in den Modulen \"tar\" und \"@npmcli/arborist\" und aufgrund von Symlink-Fehlern. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um Dateien zu manipulieren. Zur erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"2951",
"T002207",
"67646",
"T012167",
"T004914"
]
},
"release_date": "2021-08-31T22:00:00.000+00:00",
"title": "CVE-2021-37712"
},
{
"cve": "CVE-2021-37713",
"notes": [
{
"category": "description",
"text": "In Node.js existieren mehrere Schwachstellen. Die Schwachstellen bestehen in den Modulen \"tar\" und \"@npmcli/arborist\" und aufgrund von Symlink-Fehlern. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um Dateien zu manipulieren. Zur erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"2951",
"T002207",
"67646",
"T012167",
"T004914"
]
},
"release_date": "2021-08-31T22:00:00.000+00:00",
"title": "CVE-2021-37713"
},
{
"cve": "CVE-2021-39134",
"notes": [
{
"category": "description",
"text": "In Node.js existieren mehrere Schwachstellen. Die Schwachstellen bestehen in den Modulen \"tar\" und \"@npmcli/arborist\" und aufgrund von Symlink-Fehlern. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um Dateien zu manipulieren. Zur erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"2951",
"T002207",
"67646",
"T012167",
"T004914"
]
},
"release_date": "2021-08-31T22:00:00.000+00:00",
"title": "CVE-2021-39134"
},
{
"cve": "CVE-2021-39135",
"notes": [
{
"category": "description",
"text": "In Node.js existieren mehrere Schwachstellen. Die Schwachstellen bestehen in den Modulen \"tar\" und \"@npmcli/arborist\" und aufgrund von Symlink-Fehlern. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um Dateien zu manipulieren. Zur erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"2951",
"T002207",
"67646",
"T012167",
"T004914"
]
},
"release_date": "2021-08-31T22:00:00.000+00:00",
"title": "CVE-2021-39135"
}
]
}
wid-sec-w-2023-0856
Vulnerability from csaf_certbund
Published
2022-05-31 22:00
Modified
2023-04-04 22:00
Summary
IBM QRadar SIEM: Mehrere Schwachstellen
Notes
Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.
Produktbeschreibung
IBM QRadar Security Information and Event Management (SIEM) bietet Unterstützung bei der Erkennung und Priorisierung von Sicherheitsbedrohungen im Unternehmen.
Angriff
Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in IBM QRadar SIEM ausnutzen, um die Vertraulichkeit, Integrität und Verfügbarkeit zu gefährden.
Betroffene Betriebssysteme
- Linux
{
"document": {
"aggregate_severity": {
"text": "hoch"
},
"category": "csaf_base",
"csaf_version": "2.0",
"distribution": {
"tlp": {
"label": "WHITE",
"url": "https://www.first.org/tlp/"
}
},
"lang": "de-DE",
"notes": [
{
"category": "legal_disclaimer",
"text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
},
{
"category": "description",
"text": "IBM QRadar Security Information and Event Management (SIEM) bietet Unterst\u00fctzung bei der Erkennung und Priorisierung von Sicherheitsbedrohungen im Unternehmen.",
"title": "Produktbeschreibung"
},
{
"category": "summary",
"text": "Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in IBM QRadar SIEM ausnutzen, um die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit zu gef\u00e4hrden.",
"title": "Angriff"
},
{
"category": "general",
"text": "- Linux",
"title": "Betroffene Betriebssysteme"
}
],
"publisher": {
"category": "other",
"contact_details": "csaf-provider@cert-bund.de",
"name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
"namespace": "https://www.bsi.bund.de"
},
"references": [
{
"category": "self",
"summary": "WID-SEC-W-2023-0856 - CSAF Version",
"url": "https://wid.cert-bund.de/.well-known/csaf/white/2022/wid-sec-w-2023-0856.json"
},
{
"category": "self",
"summary": "WID-SEC-2023-0856 - Portal Version",
"url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-0856"
},
{
"category": "external",
"summary": "IBM Security Bulletin 6980799 vom 2023-04-04",
"url": "https://www.ibm.com/support/pages/node/6980799"
},
{
"category": "external",
"summary": "IBM Security Bulletin vom 2022-05-31",
"url": "https://www.ibm.com/support/pages/node/6590981"
}
],
"source_lang": "en-US",
"title": "IBM QRadar SIEM: Mehrere Schwachstellen",
"tracking": {
"current_release_date": "2023-04-04T22:00:00.000+00:00",
"generator": {
"date": "2024-08-15T17:48:07.215+00:00",
"engine": {
"name": "BSI-WID",
"version": "1.3.5"
}
},
"id": "WID-SEC-W-2023-0856",
"initial_release_date": "2022-05-31T22:00:00.000+00:00",
"revision_history": [
{
"date": "2022-05-31T22:00:00.000+00:00",
"number": "1",
"summary": "Initiale Fassung"
},
{
"date": "2023-04-04T22:00:00.000+00:00",
"number": "2",
"summary": "Neue Updates von IBM aufgenommen"
}
],
"status": "final",
"version": "2"
}
},
"product_tree": {
"branches": [
{
"branches": [
{
"category": "product_name",
"name": "IBM QRadar SIEM \u003c 3.0.1",
"product": {
"name": "IBM QRadar SIEM \u003c 3.0.1",
"product_id": "T023376",
"product_identification_helper": {
"cpe": "cpe:/a:ibm:qradar_siem:3.0.1"
}
}
}
],
"category": "vendor",
"name": "IBM"
}
]
},
"vulnerabilities": [
{
"cve": "CVE-2020-11655",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen im Zusammenhang mit bekannten Sicherheitsl\u00fccken in den Komponenten Node.js und SQLite. Ein Angreifer kann diese Schwachstellen ausnutzen, um die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit zu gef\u00e4hrden."
}
],
"release_date": "2022-05-31T22:00:00.000+00:00",
"title": "CVE-2020-11655"
},
{
"cve": "CVE-2020-11656",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen im Zusammenhang mit bekannten Sicherheitsl\u00fccken in den Komponenten Node.js und SQLite. Ein Angreifer kann diese Schwachstellen ausnutzen, um die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit zu gef\u00e4hrden."
}
],
"release_date": "2022-05-31T22:00:00.000+00:00",
"title": "CVE-2020-11656"
},
{
"cve": "CVE-2020-13434",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen im Zusammenhang mit bekannten Sicherheitsl\u00fccken in den Komponenten Node.js und SQLite. Ein Angreifer kann diese Schwachstellen ausnutzen, um die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit zu gef\u00e4hrden."
}
],
"release_date": "2022-05-31T22:00:00.000+00:00",
"title": "CVE-2020-13434"
},
{
"cve": "CVE-2020-13435",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen im Zusammenhang mit bekannten Sicherheitsl\u00fccken in den Komponenten Node.js und SQLite. Ein Angreifer kann diese Schwachstellen ausnutzen, um die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit zu gef\u00e4hrden."
}
],
"release_date": "2022-05-31T22:00:00.000+00:00",
"title": "CVE-2020-13435"
},
{
"cve": "CVE-2020-13630",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen im Zusammenhang mit bekannten Sicherheitsl\u00fccken in den Komponenten Node.js und SQLite. Ein Angreifer kann diese Schwachstellen ausnutzen, um die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit zu gef\u00e4hrden."
}
],
"release_date": "2022-05-31T22:00:00.000+00:00",
"title": "CVE-2020-13630"
},
{
"cve": "CVE-2020-13631",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen im Zusammenhang mit bekannten Sicherheitsl\u00fccken in den Komponenten Node.js und SQLite. Ein Angreifer kann diese Schwachstellen ausnutzen, um die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit zu gef\u00e4hrden."
}
],
"release_date": "2022-05-31T22:00:00.000+00:00",
"title": "CVE-2020-13631"
},
{
"cve": "CVE-2020-13632",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen im Zusammenhang mit bekannten Sicherheitsl\u00fccken in den Komponenten Node.js und SQLite. Ein Angreifer kann diese Schwachstellen ausnutzen, um die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit zu gef\u00e4hrden."
}
],
"release_date": "2022-05-31T22:00:00.000+00:00",
"title": "CVE-2020-13632"
},
{
"cve": "CVE-2020-15168",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen im Zusammenhang mit bekannten Sicherheitsl\u00fccken in den Komponenten Node.js und SQLite. Ein Angreifer kann diese Schwachstellen ausnutzen, um die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit zu gef\u00e4hrden."
}
],
"release_date": "2022-05-31T22:00:00.000+00:00",
"title": "CVE-2020-15168"
},
{
"cve": "CVE-2020-15358",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen im Zusammenhang mit bekannten Sicherheitsl\u00fccken in den Komponenten Node.js und SQLite. Ein Angreifer kann diese Schwachstellen ausnutzen, um die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit zu gef\u00e4hrden."
}
],
"release_date": "2022-05-31T22:00:00.000+00:00",
"title": "CVE-2020-15358"
},
{
"cve": "CVE-2020-28469",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen im Zusammenhang mit bekannten Sicherheitsl\u00fccken in den Komponenten Node.js und SQLite. Ein Angreifer kann diese Schwachstellen ausnutzen, um die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit zu gef\u00e4hrden."
}
],
"release_date": "2022-05-31T22:00:00.000+00:00",
"title": "CVE-2020-28469"
},
{
"cve": "CVE-2020-7788",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen im Zusammenhang mit bekannten Sicherheitsl\u00fccken in den Komponenten Node.js und SQLite. Ein Angreifer kann diese Schwachstellen ausnutzen, um die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit zu gef\u00e4hrden."
}
],
"release_date": "2022-05-31T22:00:00.000+00:00",
"title": "CVE-2020-7788"
},
{
"cve": "CVE-2020-9327",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen im Zusammenhang mit bekannten Sicherheitsl\u00fccken in den Komponenten Node.js und SQLite. Ein Angreifer kann diese Schwachstellen ausnutzen, um die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit zu gef\u00e4hrden."
}
],
"release_date": "2022-05-31T22:00:00.000+00:00",
"title": "CVE-2020-9327"
},
{
"cve": "CVE-2021-22918",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen im Zusammenhang mit bekannten Sicherheitsl\u00fccken in den Komponenten Node.js und SQLite. Ein Angreifer kann diese Schwachstellen ausnutzen, um die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit zu gef\u00e4hrden."
}
],
"release_date": "2022-05-31T22:00:00.000+00:00",
"title": "CVE-2021-22918"
},
{
"cve": "CVE-2021-22930",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen im Zusammenhang mit bekannten Sicherheitsl\u00fccken in den Komponenten Node.js und SQLite. Ein Angreifer kann diese Schwachstellen ausnutzen, um die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit zu gef\u00e4hrden."
}
],
"release_date": "2022-05-31T22:00:00.000+00:00",
"title": "CVE-2021-22930"
},
{
"cve": "CVE-2021-22931",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen im Zusammenhang mit bekannten Sicherheitsl\u00fccken in den Komponenten Node.js und SQLite. Ein Angreifer kann diese Schwachstellen ausnutzen, um die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit zu gef\u00e4hrden."
}
],
"release_date": "2022-05-31T22:00:00.000+00:00",
"title": "CVE-2021-22931"
},
{
"cve": "CVE-2021-22939",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen im Zusammenhang mit bekannten Sicherheitsl\u00fccken in den Komponenten Node.js und SQLite. Ein Angreifer kann diese Schwachstellen ausnutzen, um die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit zu gef\u00e4hrden."
}
],
"release_date": "2022-05-31T22:00:00.000+00:00",
"title": "CVE-2021-22939"
},
{
"cve": "CVE-2021-22940",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen im Zusammenhang mit bekannten Sicherheitsl\u00fccken in den Komponenten Node.js und SQLite. Ein Angreifer kann diese Schwachstellen ausnutzen, um die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit zu gef\u00e4hrden."
}
],
"release_date": "2022-05-31T22:00:00.000+00:00",
"title": "CVE-2021-22940"
},
{
"cve": "CVE-2021-23343",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen im Zusammenhang mit bekannten Sicherheitsl\u00fccken in den Komponenten Node.js und SQLite. Ein Angreifer kann diese Schwachstellen ausnutzen, um die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit zu gef\u00e4hrden."
}
],
"release_date": "2022-05-31T22:00:00.000+00:00",
"title": "CVE-2021-23343"
},
{
"cve": "CVE-2021-23362",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen im Zusammenhang mit bekannten Sicherheitsl\u00fccken in den Komponenten Node.js und SQLite. Ein Angreifer kann diese Schwachstellen ausnutzen, um die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit zu gef\u00e4hrden."
}
],
"release_date": "2022-05-31T22:00:00.000+00:00",
"title": "CVE-2021-23362"
},
{
"cve": "CVE-2021-27290",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen im Zusammenhang mit bekannten Sicherheitsl\u00fccken in den Komponenten Node.js und SQLite. Ein Angreifer kann diese Schwachstellen ausnutzen, um die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit zu gef\u00e4hrden."
}
],
"release_date": "2022-05-31T22:00:00.000+00:00",
"title": "CVE-2021-27290"
},
{
"cve": "CVE-2021-32803",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen im Zusammenhang mit bekannten Sicherheitsl\u00fccken in den Komponenten Node.js und SQLite. Ein Angreifer kann diese Schwachstellen ausnutzen, um die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit zu gef\u00e4hrden."
}
],
"release_date": "2022-05-31T22:00:00.000+00:00",
"title": "CVE-2021-32803"
},
{
"cve": "CVE-2021-32804",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen im Zusammenhang mit bekannten Sicherheitsl\u00fccken in den Komponenten Node.js und SQLite. Ein Angreifer kann diese Schwachstellen ausnutzen, um die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit zu gef\u00e4hrden."
}
],
"release_date": "2022-05-31T22:00:00.000+00:00",
"title": "CVE-2021-32804"
},
{
"cve": "CVE-2021-33502",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen im Zusammenhang mit bekannten Sicherheitsl\u00fccken in den Komponenten Node.js und SQLite. Ein Angreifer kann diese Schwachstellen ausnutzen, um die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit zu gef\u00e4hrden."
}
],
"release_date": "2022-05-31T22:00:00.000+00:00",
"title": "CVE-2021-33502"
},
{
"cve": "CVE-2021-3672",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen im Zusammenhang mit bekannten Sicherheitsl\u00fccken in den Komponenten Node.js und SQLite. Ein Angreifer kann diese Schwachstellen ausnutzen, um die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit zu gef\u00e4hrden."
}
],
"release_date": "2022-05-31T22:00:00.000+00:00",
"title": "CVE-2021-3672"
},
{
"cve": "CVE-2021-37701",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen im Zusammenhang mit bekannten Sicherheitsl\u00fccken in den Komponenten Node.js und SQLite. Ein Angreifer kann diese Schwachstellen ausnutzen, um die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit zu gef\u00e4hrden."
}
],
"release_date": "2022-05-31T22:00:00.000+00:00",
"title": "CVE-2021-37701"
},
{
"cve": "CVE-2021-37712",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen im Zusammenhang mit bekannten Sicherheitsl\u00fccken in den Komponenten Node.js und SQLite. Ein Angreifer kann diese Schwachstellen ausnutzen, um die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit zu gef\u00e4hrden."
}
],
"release_date": "2022-05-31T22:00:00.000+00:00",
"title": "CVE-2021-37712"
},
{
"cve": "CVE-2021-37713",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen im Zusammenhang mit bekannten Sicherheitsl\u00fccken in den Komponenten Node.js und SQLite. Ein Angreifer kann diese Schwachstellen ausnutzen, um die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit zu gef\u00e4hrden."
}
],
"release_date": "2022-05-31T22:00:00.000+00:00",
"title": "CVE-2021-37713"
},
{
"cve": "CVE-2021-3807",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen im Zusammenhang mit bekannten Sicherheitsl\u00fccken in den Komponenten Node.js und SQLite. Ein Angreifer kann diese Schwachstellen ausnutzen, um die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit zu gef\u00e4hrden."
}
],
"release_date": "2022-05-31T22:00:00.000+00:00",
"title": "CVE-2021-3807"
},
{
"cve": "CVE-2021-3918",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen im Zusammenhang mit bekannten Sicherheitsl\u00fccken in den Komponenten Node.js und SQLite. Ein Angreifer kann diese Schwachstellen ausnutzen, um die Vertraulichkeit, Integrit\u00e4t und Verf\u00fcgbarkeit zu gef\u00e4hrden."
}
],
"release_date": "2022-05-31T22:00:00.000+00:00",
"title": "CVE-2021-3918"
}
]
}
wid-sec-w-2023-0857
Vulnerability from csaf_certbund
Published
2022-05-24 22:00
Modified
2023-04-04 22:00
Summary
IBM QRadar SIEM: Mehrere Schwachstellen
Notes
Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.
Produktbeschreibung
IBM QRadar Security Information and Event Management (SIEM) bietet Unterstützung bei der Erkennung und Priorisierung von Sicherheitsbedrohungen im Unternehmen.
Angriff
Ein lokaler Angreifer kann mehrere Schwachstellen in IBM QRadar SIEM ausnutzen, um beliebigen Programmcode auszuführen, einen Denial of Service Zustand herbeizuführen, Dateien manipulieren oder Sicherheitsvorkehrungen zu umgehen.
Betroffene Betriebssysteme
- Linux
{
"document": {
"aggregate_severity": {
"text": "hoch"
},
"category": "csaf_base",
"csaf_version": "2.0",
"distribution": {
"tlp": {
"label": "WHITE",
"url": "https://www.first.org/tlp/"
}
},
"lang": "de-DE",
"notes": [
{
"category": "legal_disclaimer",
"text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
},
{
"category": "description",
"text": "IBM QRadar Security Information and Event Management (SIEM) bietet Unterst\u00fctzung bei der Erkennung und Priorisierung von Sicherheitsbedrohungen im Unternehmen.",
"title": "Produktbeschreibung"
},
{
"category": "summary",
"text": "Ein lokaler Angreifer kann mehrere Schwachstellen in IBM QRadar SIEM ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Denial of Service Zustand herbeizuf\u00fchren, Dateien manipulieren oder Sicherheitsvorkehrungen zu umgehen.",
"title": "Angriff"
},
{
"category": "general",
"text": "- Linux",
"title": "Betroffene Betriebssysteme"
}
],
"publisher": {
"category": "other",
"contact_details": "csaf-provider@cert-bund.de",
"name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
"namespace": "https://www.bsi.bund.de"
},
"references": [
{
"category": "self",
"summary": "WID-SEC-W-2023-0857 - CSAF Version",
"url": "https://wid.cert-bund.de/.well-known/csaf/white/2022/wid-sec-w-2023-0857.json"
},
{
"category": "self",
"summary": "WID-SEC-2023-0857 - Portal Version",
"url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-0857"
},
{
"category": "external",
"summary": "IBM Security Bulletin 6980799 vom 2023-04-04",
"url": "https://www.ibm.com/support/pages/node/6980799"
},
{
"category": "external",
"summary": "IBM Security Bulletin: 6589583 vom 2022-05-24",
"url": "https://www.ibm.com/support/pages/node/6589583"
},
{
"category": "external",
"summary": "IBM Security Bulletin: 6589583 vom 2022-05-24",
"url": "https://www.ibm.com/support/pages/node/6589581"
}
],
"source_lang": "en-US",
"title": "IBM QRadar SIEM: Mehrere Schwachstellen",
"tracking": {
"current_release_date": "2023-04-04T22:00:00.000+00:00",
"generator": {
"date": "2024-08-15T17:48:07.460+00:00",
"engine": {
"name": "BSI-WID",
"version": "1.3.5"
}
},
"id": "WID-SEC-W-2023-0857",
"initial_release_date": "2022-05-24T22:00:00.000+00:00",
"revision_history": [
{
"date": "2022-05-24T22:00:00.000+00:00",
"number": "1",
"summary": "Initiale Fassung"
},
{
"date": "2023-04-04T22:00:00.000+00:00",
"number": "2",
"summary": "Neue Updates von IBM aufgenommen"
}
],
"status": "final",
"version": "2"
}
},
"product_tree": {
"branches": [
{
"branches": [
{
"category": "product_name",
"name": "IBM QRadar SIEM",
"product": {
"name": "IBM QRadar SIEM",
"product_id": "T021415",
"product_identification_helper": {
"cpe": "cpe:/a:ibm:qradar_siem:-"
}
}
}
],
"category": "vendor",
"name": "IBM"
}
]
},
"vulnerabilities": [
{
"cve": "CVE-2020-15168",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Die Schwachstellen bestehen in den Komponenten \"Node.js\", \"node-sass\" sowie \"UAParser.js\". Ein entfernter, anonymer oder lokaler Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Denial of Service Zustand herbeizuf\u00fchren, Dateien manipulieren oder Sicherheitsvorkehrungen zu umgehen. Zur erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T021415"
]
},
"release_date": "2022-05-24T22:00:00.000+00:00",
"title": "CVE-2020-15168"
},
{
"cve": "CVE-2020-24025",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Die Schwachstellen bestehen in den Komponenten \"Node.js\", \"node-sass\" sowie \"UAParser.js\". Ein entfernter, anonymer oder lokaler Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Denial of Service Zustand herbeizuf\u00fchren, Dateien manipulieren oder Sicherheitsvorkehrungen zu umgehen. Zur erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T021415"
]
},
"release_date": "2022-05-24T22:00:00.000+00:00",
"title": "CVE-2020-24025"
},
{
"cve": "CVE-2020-28469",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Die Schwachstellen bestehen in den Komponenten \"Node.js\", \"node-sass\" sowie \"UAParser.js\". Ein entfernter, anonymer oder lokaler Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Denial of Service Zustand herbeizuf\u00fchren, Dateien manipulieren oder Sicherheitsvorkehrungen zu umgehen. Zur erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T021415"
]
},
"release_date": "2022-05-24T22:00:00.000+00:00",
"title": "CVE-2020-28469"
},
{
"cve": "CVE-2020-28498",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Die Schwachstellen bestehen in den Komponenten \"Node.js\", \"node-sass\" sowie \"UAParser.js\". Ein entfernter, anonymer oder lokaler Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Denial of Service Zustand herbeizuf\u00fchren, Dateien manipulieren oder Sicherheitsvorkehrungen zu umgehen. Zur erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T021415"
]
},
"release_date": "2022-05-24T22:00:00.000+00:00",
"title": "CVE-2020-28498"
},
{
"cve": "CVE-2020-28500",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Die Schwachstellen bestehen in den Komponenten \"Node.js\", \"node-sass\" sowie \"UAParser.js\". Ein entfernter, anonymer oder lokaler Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Denial of Service Zustand herbeizuf\u00fchren, Dateien manipulieren oder Sicherheitsvorkehrungen zu umgehen. Zur erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T021415"
]
},
"release_date": "2022-05-24T22:00:00.000+00:00",
"title": "CVE-2020-28500"
},
{
"cve": "CVE-2020-7793",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Die Schwachstellen bestehen in den Komponenten \"Node.js\", \"node-sass\" sowie \"UAParser.js\". Ein entfernter, anonymer oder lokaler Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Denial of Service Zustand herbeizuf\u00fchren, Dateien manipulieren oder Sicherheitsvorkehrungen zu umgehen. Zur erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T021415"
]
},
"release_date": "2022-05-24T22:00:00.000+00:00",
"title": "CVE-2020-7793"
},
{
"cve": "CVE-2021-23337",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Die Schwachstellen bestehen in den Komponenten \"Node.js\", \"node-sass\" sowie \"UAParser.js\". Ein entfernter, anonymer oder lokaler Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Denial of Service Zustand herbeizuf\u00fchren, Dateien manipulieren oder Sicherheitsvorkehrungen zu umgehen. Zur erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T021415"
]
},
"release_date": "2022-05-24T22:00:00.000+00:00",
"title": "CVE-2021-23337"
},
{
"cve": "CVE-2021-27292",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Die Schwachstellen bestehen in den Komponenten \"Node.js\", \"node-sass\" sowie \"UAParser.js\". Ein entfernter, anonymer oder lokaler Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Denial of Service Zustand herbeizuf\u00fchren, Dateien manipulieren oder Sicherheitsvorkehrungen zu umgehen. Zur erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T021415"
]
},
"release_date": "2022-05-24T22:00:00.000+00:00",
"title": "CVE-2021-27292"
},
{
"cve": "CVE-2021-29060",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Die Schwachstellen bestehen in den Komponenten \"Node.js\", \"node-sass\" sowie \"UAParser.js\". Ein entfernter, anonymer oder lokaler Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Denial of Service Zustand herbeizuf\u00fchren, Dateien manipulieren oder Sicherheitsvorkehrungen zu umgehen. Zur erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T021415"
]
},
"release_date": "2022-05-24T22:00:00.000+00:00",
"title": "CVE-2021-29060"
},
{
"cve": "CVE-2021-32803",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Die Schwachstellen bestehen in den Komponenten \"Node.js\", \"node-sass\" sowie \"UAParser.js\". Ein entfernter, anonymer oder lokaler Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Denial of Service Zustand herbeizuf\u00fchren, Dateien manipulieren oder Sicherheitsvorkehrungen zu umgehen. Zur erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T021415"
]
},
"release_date": "2022-05-24T22:00:00.000+00:00",
"title": "CVE-2021-32803"
},
{
"cve": "CVE-2021-32804",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Die Schwachstellen bestehen in den Komponenten \"Node.js\", \"node-sass\" sowie \"UAParser.js\". Ein entfernter, anonymer oder lokaler Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Denial of Service Zustand herbeizuf\u00fchren, Dateien manipulieren oder Sicherheitsvorkehrungen zu umgehen. Zur erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T021415"
]
},
"release_date": "2022-05-24T22:00:00.000+00:00",
"title": "CVE-2021-32804"
},
{
"cve": "CVE-2021-33502",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Die Schwachstellen bestehen in den Komponenten \"Node.js\", \"node-sass\" sowie \"UAParser.js\". Ein entfernter, anonymer oder lokaler Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Denial of Service Zustand herbeizuf\u00fchren, Dateien manipulieren oder Sicherheitsvorkehrungen zu umgehen. Zur erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T021415"
]
},
"release_date": "2022-05-24T22:00:00.000+00:00",
"title": "CVE-2021-33502"
},
{
"cve": "CVE-2021-33623",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Die Schwachstellen bestehen in den Komponenten \"Node.js\", \"node-sass\" sowie \"UAParser.js\". Ein entfernter, anonymer oder lokaler Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Denial of Service Zustand herbeizuf\u00fchren, Dateien manipulieren oder Sicherheitsvorkehrungen zu umgehen. Zur erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T021415"
]
},
"release_date": "2022-05-24T22:00:00.000+00:00",
"title": "CVE-2021-33623"
},
{
"cve": "CVE-2021-37701",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Die Schwachstellen bestehen in den Komponenten \"Node.js\", \"node-sass\" sowie \"UAParser.js\". Ein entfernter, anonymer oder lokaler Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Denial of Service Zustand herbeizuf\u00fchren, Dateien manipulieren oder Sicherheitsvorkehrungen zu umgehen. Zur erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T021415"
]
},
"release_date": "2022-05-24T22:00:00.000+00:00",
"title": "CVE-2021-37701"
},
{
"cve": "CVE-2021-37712",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Die Schwachstellen bestehen in den Komponenten \"Node.js\", \"node-sass\" sowie \"UAParser.js\". Ein entfernter, anonymer oder lokaler Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Denial of Service Zustand herbeizuf\u00fchren, Dateien manipulieren oder Sicherheitsvorkehrungen zu umgehen. Zur erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T021415"
]
},
"release_date": "2022-05-24T22:00:00.000+00:00",
"title": "CVE-2021-37712"
},
{
"cve": "CVE-2021-37713",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Die Schwachstellen bestehen in den Komponenten \"Node.js\", \"node-sass\" sowie \"UAParser.js\". Ein entfernter, anonymer oder lokaler Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Denial of Service Zustand herbeizuf\u00fchren, Dateien manipulieren oder Sicherheitsvorkehrungen zu umgehen. Zur erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T021415"
]
},
"release_date": "2022-05-24T22:00:00.000+00:00",
"title": "CVE-2021-37713"
},
{
"cve": "CVE-2021-3807",
"notes": [
{
"category": "description",
"text": "In IBM QRadar SIEM existieren mehrere Schwachstellen. Die Schwachstellen bestehen in den Komponenten \"Node.js\", \"node-sass\" sowie \"UAParser.js\". Ein entfernter, anonymer oder lokaler Angreifer kann diese Schwachstelle ausnutzen, um beliebigen Programmcode auszuf\u00fchren, einen Denial of Service Zustand herbeizuf\u00fchren, Dateien manipulieren oder Sicherheitsvorkehrungen zu umgehen. Zur erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Benutzeraktion erforderlich."
}
],
"product_status": {
"known_affected": [
"T021415"
]
},
"release_date": "2022-05-24T22:00:00.000+00:00",
"title": "CVE-2021-3807"
}
]
}
wid-sec-w-2024-1591
Vulnerability from csaf_certbund
Published
2024-07-10 22:00
Modified
2024-11-11 23:00
Summary
Juniper JUNOS: Mehrere Schwachstellen
Notes
Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.
Produktbeschreibung
JUNOS ist das "Juniper Network Operating System", das in Juniper Appliances verwendet wird.
Angriff
Ein Angreifer kann mehrere Schwachstellen in Juniper JUNOS ausnutzen, um einen Denial of Service zu verursachen, Informationen offenzulegen, Privilegien zu erweitern und Sicherheitsmechanismen inklusive zu umgehen.
Betroffene Betriebssysteme
- Sonstiges
{
"document": {
"aggregate_severity": {
"text": "mittel"
},
"category": "csaf_base",
"csaf_version": "2.0",
"distribution": {
"tlp": {
"label": "WHITE",
"url": "https://www.first.org/tlp/"
}
},
"lang": "de-DE",
"notes": [
{
"category": "legal_disclaimer",
"text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
},
{
"category": "description",
"text": "JUNOS ist das \"Juniper Network Operating System\", das in Juniper Appliances verwendet wird.",
"title": "Produktbeschreibung"
},
{
"category": "summary",
"text": "Ein Angreifer kann mehrere Schwachstellen in Juniper JUNOS ausnutzen, um einen Denial of Service zu verursachen, Informationen offenzulegen, Privilegien zu erweitern und Sicherheitsmechanismen inklusive zu umgehen.",
"title": "Angriff"
},
{
"category": "general",
"text": "- Sonstiges",
"title": "Betroffene Betriebssysteme"
}
],
"publisher": {
"category": "other",
"contact_details": "csaf-provider@cert-bund.de",
"name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
"namespace": "https://www.bsi.bund.de"
},
"references": [
{
"category": "self",
"summary": "WID-SEC-W-2024-1591 - CSAF Version",
"url": "https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-1591.json"
},
{
"category": "self",
"summary": "WID-SEC-2024-1591 - Portal Version",
"url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-1591"
},
{
"category": "external",
"summary": "Juniper Patchday July 2024 vom 2024-07-10",
"url": "https://supportportal.juniper.net/s/global-search/%40uri?language=en_US#sort=%40sfcec_community_publish_date_formula__c%20descending\u0026numberOfResults=100\u0026f:ctype=%5BSecurity%20Advisories%5D"
}
],
"source_lang": "en-US",
"title": "Juniper JUNOS: Mehrere Schwachstellen",
"tracking": {
"current_release_date": "2024-11-11T23:00:00.000+00:00",
"generator": {
"date": "2024-11-12T09:31:28.569+00:00",
"engine": {
"name": "BSI-WID",
"version": "1.3.8"
}
},
"id": "WID-SEC-W-2024-1591",
"initial_release_date": "2024-07-10T22:00:00.000+00:00",
"revision_history": [
{
"date": "2024-07-10T22:00:00.000+00:00",
"number": "1",
"summary": "Initiale Fassung"
},
{
"date": "2024-11-11T23:00:00.000+00:00",
"number": "2",
"summary": "URL Kodierung angepasst"
}
],
"status": "final",
"version": "2"
}
},
"product_tree": {
"branches": [
{
"branches": [
{
"category": "product_name",
"name": "Juniper JUNOS",
"product": {
"name": "Juniper JUNOS",
"product_id": "T036093",
"product_identification_helper": {
"cpe": "cpe:/o:juniper:junos:-"
}
}
}
],
"category": "vendor",
"name": "Juniper"
}
]
},
"vulnerabilities": [
{
"cve": "CVE-2006-20001",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2006-20001"
},
{
"cve": "CVE-2007-5846",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2007-5846"
},
{
"cve": "CVE-2008-6123",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2008-6123"
},
{
"cve": "CVE-2011-1473",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2011-1473"
},
{
"cve": "CVE-2011-5094",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2011-5094"
},
{
"cve": "CVE-2012-6151",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2012-6151"
},
{
"cve": "CVE-2014-10064",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2014-10064"
},
{
"cve": "CVE-2014-2285",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2014-2285"
},
{
"cve": "CVE-2014-2310",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2014-2310"
},
{
"cve": "CVE-2014-3565",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2014-3565"
},
{
"cve": "CVE-2014-7191",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2014-7191"
},
{
"cve": "CVE-2014-8882",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2014-8882"
},
{
"cve": "CVE-2015-5621",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2015-5621"
},
{
"cve": "CVE-2015-8100",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2015-8100"
},
{
"cve": "CVE-2015-9262",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2015-9262"
},
{
"cve": "CVE-2016-1000232",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2016-1000232"
},
{
"cve": "CVE-2016-10540",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2016-10540"
},
{
"cve": "CVE-2016-4658",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2016-4658"
},
{
"cve": "CVE-2017-1000048",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2017-1000048"
},
{
"cve": "CVE-2017-15010",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2017-15010"
},
{
"cve": "CVE-2018-18065",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2018-18065"
},
{
"cve": "CVE-2018-20834",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2018-20834"
},
{
"cve": "CVE-2018-3737",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2018-3737"
},
{
"cve": "CVE-2018-7408",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2018-7408"
},
{
"cve": "CVE-2019-10081",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2019-10081"
},
{
"cve": "CVE-2019-10082",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2019-10082"
},
{
"cve": "CVE-2019-10092",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2019-10092"
},
{
"cve": "CVE-2019-10097",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2019-10097"
},
{
"cve": "CVE-2019-10098",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2019-10098"
},
{
"cve": "CVE-2019-11719",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2019-11719"
},
{
"cve": "CVE-2019-11727",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2019-11727"
},
{
"cve": "CVE-2019-11756",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2019-11756"
},
{
"cve": "CVE-2019-16775",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2019-16775"
},
{
"cve": "CVE-2019-16776",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2019-16776"
},
{
"cve": "CVE-2019-16777",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2019-16777"
},
{
"cve": "CVE-2019-17006",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2019-17006"
},
{
"cve": "CVE-2019-17023",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2019-17023"
},
{
"cve": "CVE-2019-17567",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2019-17567"
},
{
"cve": "CVE-2019-20149",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2019-20149"
},
{
"cve": "CVE-2019-20892",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2019-20892"
},
{
"cve": "CVE-2019-9517",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2019-9517"
},
{
"cve": "CVE-2020-11668",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2020-11668"
},
{
"cve": "CVE-2020-11984",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2020-11984"
},
{
"cve": "CVE-2020-11993",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2020-11993"
},
{
"cve": "CVE-2020-12362",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2020-12362"
},
{
"cve": "CVE-2020-12400",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2020-12400"
},
{
"cve": "CVE-2020-12401",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2020-12401"
},
{
"cve": "CVE-2020-12402",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2020-12402"
},
{
"cve": "CVE-2020-12403",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2020-12403"
},
{
"cve": "CVE-2020-13938",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2020-13938"
},
{
"cve": "CVE-2020-13950",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2020-13950"
},
{
"cve": "CVE-2020-14145",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2020-14145"
},
{
"cve": "CVE-2020-15861",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2020-15861"
},
{
"cve": "CVE-2020-15862",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2020-15862"
},
{
"cve": "CVE-2020-1927",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2020-1927"
},
{
"cve": "CVE-2020-1934",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2020-1934"
},
{
"cve": "CVE-2020-28469",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2020-28469"
},
{
"cve": "CVE-2020-28502",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2020-28502"
},
{
"cve": "CVE-2020-35452",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2020-35452"
},
{
"cve": "CVE-2020-36049",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2020-36049"
},
{
"cve": "CVE-2020-6829",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2020-6829"
},
{
"cve": "CVE-2020-7660",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2020-7660"
},
{
"cve": "CVE-2020-7754",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2020-7754"
},
{
"cve": "CVE-2020-7774",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2020-7774"
},
{
"cve": "CVE-2020-8648",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2020-8648"
},
{
"cve": "CVE-2020-9490",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2020-9490"
},
{
"cve": "CVE-2021-22543",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2021-22543"
},
{
"cve": "CVE-2021-2342",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2021-2342"
},
{
"cve": "CVE-2021-23440",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2021-23440"
},
{
"cve": "CVE-2021-2356",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2021-2356"
},
{
"cve": "CVE-2021-2372",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2021-2372"
},
{
"cve": "CVE-2021-2385",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2021-2385"
},
{
"cve": "CVE-2021-2389",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2021-2389"
},
{
"cve": "CVE-2021-2390",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2021-2390"
},
{
"cve": "CVE-2021-25745",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2021-25745"
},
{
"cve": "CVE-2021-25746",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2021-25746"
},
{
"cve": "CVE-2021-25748",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2021-25748"
},
{
"cve": "CVE-2021-26690",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2021-26690"
},
{
"cve": "CVE-2021-26691",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2021-26691"
},
{
"cve": "CVE-2021-27290",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2021-27290"
},
{
"cve": "CVE-2021-29469",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2021-29469"
},
{
"cve": "CVE-2021-30641",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2021-30641"
},
{
"cve": "CVE-2021-31535",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2021-31535"
},
{
"cve": "CVE-2021-31618",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2021-31618"
},
{
"cve": "CVE-2021-3177",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2021-3177"
},
{
"cve": "CVE-2021-32803",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2021-32803"
},
{
"cve": "CVE-2021-32804",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2021-32804"
},
{
"cve": "CVE-2021-33033",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2021-33033"
},
{
"cve": "CVE-2021-33034",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2021-33034"
},
{
"cve": "CVE-2021-33193",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2021-33193"
},
{
"cve": "CVE-2021-3347",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2021-3347"
},
{
"cve": "CVE-2021-33909",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2021-33909"
},
{
"cve": "CVE-2021-34798",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2021-34798"
},
{
"cve": "CVE-2021-35604",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2021-35604"
},
{
"cve": "CVE-2021-35624",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2021-35624"
},
{
"cve": "CVE-2021-36160",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2021-36160"
},
{
"cve": "CVE-2021-37701",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2021-37701"
},
{
"cve": "CVE-2021-37712",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2021-37712"
},
{
"cve": "CVE-2021-37713",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2021-37713"
},
{
"cve": "CVE-2021-3803",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2021-3803"
},
{
"cve": "CVE-2021-39275",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2021-39275"
},
{
"cve": "CVE-2021-40438",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2021-40438"
},
{
"cve": "CVE-2021-41524",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2021-41524"
},
{
"cve": "CVE-2021-41773",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2021-41773"
},
{
"cve": "CVE-2021-42013",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2021-42013"
},
{
"cve": "CVE-2021-43527",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2021-43527"
},
{
"cve": "CVE-2021-44224",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2021-44224"
},
{
"cve": "CVE-2021-44225",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2021-44225"
},
{
"cve": "CVE-2021-44790",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2021-44790"
},
{
"cve": "CVE-2021-44906",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2021-44906"
},
{
"cve": "CVE-2022-21245",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-21245"
},
{
"cve": "CVE-2022-21270",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-21270"
},
{
"cve": "CVE-2022-21303",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-21303"
},
{
"cve": "CVE-2022-21304",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-21304"
},
{
"cve": "CVE-2022-21344",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-21344"
},
{
"cve": "CVE-2022-21367",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-21367"
},
{
"cve": "CVE-2022-21417",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-21417"
},
{
"cve": "CVE-2022-21427",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-21427"
},
{
"cve": "CVE-2022-21444",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-21444"
},
{
"cve": "CVE-2022-21451",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-21451"
},
{
"cve": "CVE-2022-21454",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-21454"
},
{
"cve": "CVE-2022-21460",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-21460"
},
{
"cve": "CVE-2022-21589",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-21589"
},
{
"cve": "CVE-2022-21592",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-21592"
},
{
"cve": "CVE-2022-21595",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-21595"
},
{
"cve": "CVE-2022-21608",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-21608"
},
{
"cve": "CVE-2022-21617",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-21617"
},
{
"cve": "CVE-2022-22719",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-22719"
},
{
"cve": "CVE-2022-22720",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-22720"
},
{
"cve": "CVE-2022-22721",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-22721"
},
{
"cve": "CVE-2022-22822",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-22822"
},
{
"cve": "CVE-2022-22823",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-22823"
},
{
"cve": "CVE-2022-22824",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-22824"
},
{
"cve": "CVE-2022-23471",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-23471"
},
{
"cve": "CVE-2022-23524",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-23524"
},
{
"cve": "CVE-2022-23525",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-23525"
},
{
"cve": "CVE-2022-23526",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-23526"
},
{
"cve": "CVE-2022-23852",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-23852"
},
{
"cve": "CVE-2022-23943",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-23943"
},
{
"cve": "CVE-2022-25147",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-25147"
},
{
"cve": "CVE-2022-25235",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-25235"
},
{
"cve": "CVE-2022-25236",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-25236"
},
{
"cve": "CVE-2022-2526",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-2526"
},
{
"cve": "CVE-2022-25315",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-25315"
},
{
"cve": "CVE-2022-26377",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-26377"
},
{
"cve": "CVE-2022-28330",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-28330"
},
{
"cve": "CVE-2022-28614",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-28614"
},
{
"cve": "CVE-2022-28615",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-28615"
},
{
"cve": "CVE-2022-29167",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-29167"
},
{
"cve": "CVE-2022-29404",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-29404"
},
{
"cve": "CVE-2022-30522",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-30522"
},
{
"cve": "CVE-2022-30556",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-30556"
},
{
"cve": "CVE-2022-31813",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-31813"
},
{
"cve": "CVE-2022-3517",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-3517"
},
{
"cve": "CVE-2022-3564",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-3564"
},
{
"cve": "CVE-2022-36760",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-36760"
},
{
"cve": "CVE-2022-37434",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-37434"
},
{
"cve": "CVE-2022-37436",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-37436"
},
{
"cve": "CVE-2022-40674",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-40674"
},
{
"cve": "CVE-2022-41741",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-41741"
},
{
"cve": "CVE-2022-41742",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-41742"
},
{
"cve": "CVE-2022-4203",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-4203"
},
{
"cve": "CVE-2022-4304",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-4304"
},
{
"cve": "CVE-2022-4450",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-4450"
},
{
"cve": "CVE-2022-46663",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-46663"
},
{
"cve": "CVE-2022-4886",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2022-4886"
},
{
"cve": "CVE-2023-0215",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-0215"
},
{
"cve": "CVE-2023-0216",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-0216"
},
{
"cve": "CVE-2023-0217",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-0217"
},
{
"cve": "CVE-2023-0286",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-0286"
},
{
"cve": "CVE-2023-0401",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-0401"
},
{
"cve": "CVE-2023-0464",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-0464"
},
{
"cve": "CVE-2023-0465",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-0465"
},
{
"cve": "CVE-2023-0466",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-0466"
},
{
"cve": "CVE-2023-0767",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-0767"
},
{
"cve": "CVE-2023-1255",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-1255"
},
{
"cve": "CVE-2023-2002",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-2002"
},
{
"cve": "CVE-2023-20593",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-20593"
},
{
"cve": "CVE-2023-21830",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-21830"
},
{
"cve": "CVE-2023-21840",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-21840"
},
{
"cve": "CVE-2023-21843",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-21843"
},
{
"cve": "CVE-2023-21912",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-21912"
},
{
"cve": "CVE-2023-21963",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-21963"
},
{
"cve": "CVE-2023-21980",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-21980"
},
{
"cve": "CVE-2023-22025",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-22025"
},
{
"cve": "CVE-2023-22067",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-22067"
},
{
"cve": "CVE-2023-22081",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-22081"
},
{
"cve": "CVE-2023-22652",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-22652"
},
{
"cve": "CVE-2023-24329",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-24329"
},
{
"cve": "CVE-2023-25153",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-25153"
},
{
"cve": "CVE-2023-25173",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-25173"
},
{
"cve": "CVE-2023-25690",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-25690"
},
{
"cve": "CVE-2023-2700",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-2700"
},
{
"cve": "CVE-2023-27522",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-27522"
},
{
"cve": "CVE-2023-2828",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-2828"
},
{
"cve": "CVE-2023-28840",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-28840"
},
{
"cve": "CVE-2023-28841",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-28841"
},
{
"cve": "CVE-2023-28842",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-28842"
},
{
"cve": "CVE-2023-2975",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-2975"
},
{
"cve": "CVE-2023-30079",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-30079"
},
{
"cve": "CVE-2023-30630",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-30630"
},
{
"cve": "CVE-2023-3090",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-3090"
},
{
"cve": "CVE-2023-32067",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-32067"
},
{
"cve": "CVE-2023-32360",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-32360"
},
{
"cve": "CVE-2023-32435",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-32435"
},
{
"cve": "CVE-2023-32439",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-32439"
},
{
"cve": "CVE-2023-32732",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-32732"
},
{
"cve": "CVE-2023-3341",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-3341"
},
{
"cve": "CVE-2023-3390",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-3390"
},
{
"cve": "CVE-2023-33953",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-33953"
},
{
"cve": "CVE-2023-34058",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-34058"
},
{
"cve": "CVE-2023-34059",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-34059"
},
{
"cve": "CVE-2023-3446",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-3446"
},
{
"cve": "CVE-2023-34969",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-34969"
},
{
"cve": "CVE-2023-35001",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-35001"
},
{
"cve": "CVE-2023-35788",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-35788"
},
{
"cve": "CVE-2023-3611",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-3611"
},
{
"cve": "CVE-2023-37450",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-37450"
},
{
"cve": "CVE-2023-3776",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-3776"
},
{
"cve": "CVE-2023-3817",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-3817"
},
{
"cve": "CVE-2023-4004",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-4004"
},
{
"cve": "CVE-2023-4206",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-4206"
},
{
"cve": "CVE-2023-4207",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-4207"
},
{
"cve": "CVE-2023-4208",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-4208"
},
{
"cve": "CVE-2023-42753",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-42753"
},
{
"cve": "CVE-2023-4785",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-4785"
},
{
"cve": "CVE-2023-4807",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-4807"
},
{
"cve": "CVE-2023-4863",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-4863"
},
{
"cve": "CVE-2023-5043",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-5043"
},
{
"cve": "CVE-2023-5129",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-5129"
},
{
"cve": "CVE-2023-5363",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2023-5363"
},
{
"cve": "CVE-2024-20918",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2024-20918"
},
{
"cve": "CVE-2024-20919",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2024-20919"
},
{
"cve": "CVE-2024-20921",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2024-20921"
},
{
"cve": "CVE-2024-20926",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2024-20926"
},
{
"cve": "CVE-2024-20932",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2024-20932"
},
{
"cve": "CVE-2024-20945",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2024-20945"
},
{
"cve": "CVE-2024-20952",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2024-20952"
},
{
"cve": "CVE-2024-39511",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2024-39511"
},
{
"cve": "CVE-2024-39512",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2024-39512"
},
{
"cve": "CVE-2024-39513",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2024-39513"
},
{
"cve": "CVE-2024-39514",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2024-39514"
},
{
"cve": "CVE-2024-39517",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2024-39517"
},
{
"cve": "CVE-2024-39518",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2024-39518"
},
{
"cve": "CVE-2024-39519",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2024-39519"
},
{
"cve": "CVE-2024-39520",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2024-39520"
},
{
"cve": "CVE-2024-39521",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2024-39521"
},
{
"cve": "CVE-2024-39522",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2024-39522"
},
{
"cve": "CVE-2024-39523",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2024-39523"
},
{
"cve": "CVE-2024-39524",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2024-39524"
},
{
"cve": "CVE-2024-39528",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2024-39528"
},
{
"cve": "CVE-2024-39529",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2024-39529"
},
{
"cve": "CVE-2024-39530",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2024-39530"
},
{
"cve": "CVE-2024-39531",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2024-39531"
},
{
"cve": "CVE-2024-39532",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2024-39532"
},
{
"cve": "CVE-2024-39533",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2024-39533"
},
{
"cve": "CVE-2024-39535",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2024-39535"
},
{
"cve": "CVE-2024-39536",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2024-39536"
},
{
"cve": "CVE-2024-39537",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2024-39537"
},
{
"cve": "CVE-2024-39538",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2024-39538"
},
{
"cve": "CVE-2024-39539",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2024-39539"
},
{
"cve": "CVE-2024-39540",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2024-39540"
},
{
"cve": "CVE-2024-39541",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2024-39541"
},
{
"cve": "CVE-2024-39542",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2024-39542"
},
{
"cve": "CVE-2024-39543",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2024-39543"
},
{
"cve": "CVE-2024-39545",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2024-39545"
},
{
"cve": "CVE-2024-39546",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2024-39546"
},
{
"cve": "CVE-2024-39548",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2024-39548"
},
{
"cve": "CVE-2024-39549",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2024-39549"
},
{
"cve": "CVE-2024-39550",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2024-39550"
},
{
"cve": "CVE-2024-39551",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2024-39551"
},
{
"cve": "CVE-2024-39553",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2024-39553"
},
{
"cve": "CVE-2024-39554",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2024-39554"
},
{
"cve": "CVE-2024-39555",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2024-39555"
},
{
"cve": "CVE-2024-39556",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2024-39556"
},
{
"cve": "CVE-2024-39557",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2024-39557"
},
{
"cve": "CVE-2024-39558",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2024-39558"
},
{
"cve": "CVE-2024-39559",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2024-39559"
},
{
"cve": "CVE-2024-39560",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2024-39560"
},
{
"cve": "CVE-2024-39561",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2024-39561"
},
{
"cve": "CVE-2024-39565",
"notes": [
{
"category": "description",
"text": "Es existieren mehrere Schwachstellen in verschiedenen Juniper-Produkten. Ursachen sind unter Anderem Ungen\u00fcgende Eingabe\u00fcberpr\u00fcfungen, Unsachgem\u00e4\u00dfe \u00dcberpr\u00fcfung und Verarbeitung von Paketen, fehlende Speicherfreigaben, fehlerhafte Behandlung von Ausnahmen, Unsachgem\u00e4\u00dfe Speicherbehandlung, unkontrollierter Ressourcenverbrauch, Klartextspeicherung von Daten und Puffer\u00fcberl\u00e4ufe. Diese Schwachstellen erm\u00f6glichen Angreifern Denial of Service Zust\u00e4nde zu verursachen, Informationen offenzulegen, Code auszuf\u00fchren, Privilegien zu erweitern und Sicherheitsmechanismen inklusive der Firewall Funktionalit\u00e4t zu umgehen. Zu einer erfolgreichen Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder eine Interaktion des Nutzers notwendig."
}
],
"product_status": {
"known_affected": [
"T036093"
]
},
"release_date": "2024-07-10T22:00:00.000+00:00",
"title": "CVE-2024-39565"
}
]
}
fkie_cve-2021-37713
Vulnerability from fkie_nvd
Published
2021-08-31 17:15
Modified
2024-11-21 06:15
Severity ?
8.2 (High) - CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N
8.6 (High) - CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
8.6 (High) - CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
Summary
The npm package "tar" (aka node-tar) before versions 4.4.18, 5.0.10, and 6.1.9 has an arbitrary file creation/overwrite and arbitrary code execution vulnerability. node-tar aims to guarantee that any file whose location would be outside of the extraction target directory is not extracted. This is, in part, accomplished by sanitizing absolute paths of entries within the archive, skipping archive entries that contain `..` path portions, and resolving the sanitized paths against the extraction target directory. This logic was insufficient on Windows systems when extracting tar files that contained a path that was not an absolute path, but specified a drive letter different from the extraction target, such as `C:some\path`. If the drive letter does not match the extraction target, for example `D:\extraction\dir`, then the result of `path.resolve(extractionDirectory, entryPath)` would resolve against the current working directory on the `C:` drive, rather than the extraction target directory. Additionally, a `..` portion of the path could occur immediately after the drive letter, such as `C:../foo`, and was not properly sanitized by the logic that checked for `..` within the normalized and split portions of the path. This only affects users of `node-tar` on Windows systems. These issues were addressed in releases 4.4.18, 5.0.10 and 6.1.9. The v3 branch of node-tar has been deprecated and did not receive patches for these issues. If you are still using a v3 release we recommend you update to a more recent version of node-tar. There is no reasonable way to work around this issue without performing the same path normalization procedures that node-tar now does. Users are encouraged to upgrade to the latest patched versions of node-tar, rather than attempt to sanitize paths themselves.
References
| ▶ | URL | Tags | |
|---|---|---|---|
| security-advisories@github.com | https://cert-portal.siemens.com/productcert/pdf/ssa-389290.pdf | Patch, Third Party Advisory | |
| security-advisories@github.com | https://github.com/npm/node-tar/security/advisories/GHSA-5955-9wpr-37jh | Patch, Third Party Advisory | |
| security-advisories@github.com | https://www.npmjs.com/package/tar | Product, Third Party Advisory | |
| security-advisories@github.com | https://www.oracle.com/security-alerts/cpuoct2021.html | Patch, Third Party Advisory | |
| af854a3a-2127-422b-91ae-364da2661108 | https://cert-portal.siemens.com/productcert/pdf/ssa-389290.pdf | Patch, Third Party Advisory | |
| af854a3a-2127-422b-91ae-364da2661108 | https://github.com/npm/node-tar/security/advisories/GHSA-5955-9wpr-37jh | Patch, Third Party Advisory | |
| af854a3a-2127-422b-91ae-364da2661108 | https://www.npmjs.com/package/tar | Product, Third Party Advisory | |
| af854a3a-2127-422b-91ae-364da2661108 | https://www.oracle.com/security-alerts/cpuoct2021.html | Patch, Third Party Advisory |
Impacted products
{
"configurations": [
{
"nodes": [
{
"cpeMatch": [
{
"criteria": "cpe:2.3:a:npmjs:tar:*:*:*:*:*:node.js:*:*",
"matchCriteriaId": "06B7B0B0-0912-4363-8770-4BA73C29B0DC",
"versionEndExcluding": "4.4.18",
"vulnerable": true
},
{
"criteria": "cpe:2.3:a:npmjs:tar:*:*:*:*:*:node.js:*:*",
"matchCriteriaId": "64DA77D1-13E3-4A95-89EC-E821871426B6",
"versionEndExcluding": "5.0.10",
"versionStartIncluding": "5.0.0",
"vulnerable": true
},
{
"criteria": "cpe:2.3:a:npmjs:tar:*:*:*:*:*:node.js:*:*",
"matchCriteriaId": "304D91FC-CEAD-4E45-AD45-E6D08A9BABDB",
"versionEndExcluding": "6.1.9",
"versionStartIncluding": "6.0.0",
"vulnerable": true
}
],
"negate": false,
"operator": "OR"
},
{
"cpeMatch": [
{
"criteria": "cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*",
"matchCriteriaId": "A2572D17-1DE6-457B-99CC-64AFD54487EA",
"vulnerable": false
}
],
"negate": false,
"operator": "OR"
}
],
"operator": "AND"
},
{
"nodes": [
{
"cpeMatch": [
{
"criteria": "cpe:2.3:a:oracle:graalvm:20.3.3:*:*:*:enterprise:*:*:*",
"matchCriteriaId": "53B2BB06-A2F7-4603-89C3-C8500E55483A",
"vulnerable": true
},
{
"criteria": "cpe:2.3:a:oracle:graalvm:21.2.0:*:*:*:enterprise:*:*:*",
"matchCriteriaId": "01E88C86-8C04-4A4A-BF45-9082AA783056",
"vulnerable": true
}
],
"negate": false,
"operator": "OR"
}
]
},
{
"nodes": [
{
"cpeMatch": [
{
"criteria": "cpe:2.3:a:siemens:sinec_infrastructure_network_services:*:*:*:*:*:*:*:*",
"matchCriteriaId": "B0F46497-4AB0-49A7-9453-CC26837BF253",
"versionEndExcluding": "1.0.1.1",
"vulnerable": true
}
],
"negate": false,
"operator": "OR"
}
]
}
],
"cveTags": [],
"descriptions": [
{
"lang": "en",
"value": "The npm package \"tar\" (aka node-tar) before versions 4.4.18, 5.0.10, and 6.1.9 has an arbitrary file creation/overwrite and arbitrary code execution vulnerability. node-tar aims to guarantee that any file whose location would be outside of the extraction target directory is not extracted. This is, in part, accomplished by sanitizing absolute paths of entries within the archive, skipping archive entries that contain `..` path portions, and resolving the sanitized paths against the extraction target directory. This logic was insufficient on Windows systems when extracting tar files that contained a path that was not an absolute path, but specified a drive letter different from the extraction target, such as `C:some\\path`. If the drive letter does not match the extraction target, for example `D:\\extraction\\dir`, then the result of `path.resolve(extractionDirectory, entryPath)` would resolve against the current working directory on the `C:` drive, rather than the extraction target directory. Additionally, a `..` portion of the path could occur immediately after the drive letter, such as `C:../foo`, and was not properly sanitized by the logic that checked for `..` within the normalized and split portions of the path. This only affects users of `node-tar` on Windows systems. These issues were addressed in releases 4.4.18, 5.0.10 and 6.1.9. The v3 branch of node-tar has been deprecated and did not receive patches for these issues. If you are still using a v3 release we recommend you update to a more recent version of node-tar. There is no reasonable way to work around this issue without performing the same path normalization procedures that node-tar now does. Users are encouraged to upgrade to the latest patched versions of node-tar, rather than attempt to sanitize paths themselves."
},
{
"lang": "es",
"value": "El paquete npm \"tar\" (tambi\u00e9n se conoce como node-tar) versiones anteriores a 4.4.18, 5.0.10 y 6.1.9, presenta una vulnerabilidad de creaci\u00f3n y escritura excesiva de archivos arbitrarios y de ejecuci\u00f3n de c\u00f3digo arbitrario. node-tar pretende garantizar que no se extraiga ning\u00fan archivo cuya ubicaci\u00f3n est\u00e9 fuera del directorio de destino de la extracci\u00f3n. Esto es conseguido, en parte, al sanear las rutas absolutas de las entradas dentro del archivo, omitiendo las entradas del archivo que contienen porciones de ruta \"..\" y resolviendo las rutas saneadas contra el directorio de destino de la extracci\u00f3n. Esta l\u00f3gica era insuficiente en los sistemas Windows cuando se extra\u00edan archivos tar que conten\u00edan una ruta que no era una ruta absoluta, sino que especificaba una letra de unidad diferente del destino de extracci\u00f3n, como \"C:some\\path\". Si la letra de la unidad no coincide con el destino de la extracci\u00f3n, por ejemplo, \"D:\\extraction\\dir\", entonces el resultado de \"path.resolve(extractionDirectory, entryPath)\" se resolver\u00eda contra el directorio de trabajo actual en la unidad \"C:\", en lugar del directorio de destino de la extracci\u00f3n. Adem\u00e1s, una porci\u00f3n \"..\" de la ruta pod\u00eda aparecer inmediatamente despu\u00e9s de la letra de la unidad, como \"C:../foo\", y no era saneada apropiadamente por la l\u00f3gica que buscaba \"..\" dentro de las porciones normalizadas y divididas de la ruta. Esto s\u00f3lo afecta a los usuarios de \"node-tar\" en sistemas Windows. Estos problemas se han solucionado en las versiones 4.4.18, 5.0.10 y 6.1.9. La rama v3 de node-tar ha quedado obsoleta y no ha recibido parches para estos problemas. Si todav\u00eda est\u00e1 usando una versi\u00f3n v3 le recomendamos que actualice a una versi\u00f3n m\u00e1s reciente de node-tar. No hay una forma razonable de solucionar este problema sin llevar a cabo los mismos procedimientos de normalizaci\u00f3n de rutas que hace ahora node-tar. Se recomienda a los usuarios que actualicen a las \u00faltimas versiones parcheadas de node-tar, en lugar de intentar sanear las rutas por s\u00ed mismos"
}
],
"id": "CVE-2021-37713",
"lastModified": "2024-11-21T06:15:46.377",
"metrics": {
"cvssMetricV2": [
{
"acInsufInfo": false,
"baseSeverity": "MEDIUM",
"cvssData": {
"accessComplexity": "MEDIUM",
"accessVector": "LOCAL",
"authentication": "NONE",
"availabilityImpact": "PARTIAL",
"baseScore": 4.4,
"confidentialityImpact": "PARTIAL",
"integrityImpact": "PARTIAL",
"vectorString": "AV:L/AC:M/Au:N/C:P/I:P/A:P",
"version": "2.0"
},
"exploitabilityScore": 3.4,
"impactScore": 6.4,
"obtainAllPrivilege": false,
"obtainOtherPrivilege": false,
"obtainUserPrivilege": false,
"source": "nvd@nist.gov",
"type": "Primary",
"userInteractionRequired": true
}
],
"cvssMetricV31": [
{
"cvssData": {
"attackComplexity": "LOW",
"attackVector": "LOCAL",
"availabilityImpact": "NONE",
"baseScore": 8.2,
"baseSeverity": "HIGH",
"confidentialityImpact": "HIGH",
"integrityImpact": "HIGH",
"privilegesRequired": "NONE",
"scope": "CHANGED",
"userInteraction": "REQUIRED",
"vectorString": "CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N",
"version": "3.1"
},
"exploitabilityScore": 1.8,
"impactScore": 5.8,
"source": "security-advisories@github.com",
"type": "Secondary"
},
{
"cvssData": {
"attackComplexity": "LOW",
"attackVector": "LOCAL",
"availabilityImpact": "HIGH",
"baseScore": 8.6,
"baseSeverity": "HIGH",
"confidentialityImpact": "HIGH",
"integrityImpact": "HIGH",
"privilegesRequired": "NONE",
"scope": "CHANGED",
"userInteraction": "REQUIRED",
"vectorString": "CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H",
"version": "3.1"
},
"exploitabilityScore": 1.8,
"impactScore": 6.0,
"source": "nvd@nist.gov",
"type": "Primary"
}
]
},
"published": "2021-08-31T17:15:08.087",
"references": [
{
"source": "security-advisories@github.com",
"tags": [
"Patch",
"Third Party Advisory"
],
"url": "https://cert-portal.siemens.com/productcert/pdf/ssa-389290.pdf"
},
{
"source": "security-advisories@github.com",
"tags": [
"Patch",
"Third Party Advisory"
],
"url": "https://github.com/npm/node-tar/security/advisories/GHSA-5955-9wpr-37jh"
},
{
"source": "security-advisories@github.com",
"tags": [
"Product",
"Third Party Advisory"
],
"url": "https://www.npmjs.com/package/tar"
},
{
"source": "security-advisories@github.com",
"tags": [
"Patch",
"Third Party Advisory"
],
"url": "https://www.oracle.com/security-alerts/cpuoct2021.html"
},
{
"source": "af854a3a-2127-422b-91ae-364da2661108",
"tags": [
"Patch",
"Third Party Advisory"
],
"url": "https://cert-portal.siemens.com/productcert/pdf/ssa-389290.pdf"
},
{
"source": "af854a3a-2127-422b-91ae-364da2661108",
"tags": [
"Patch",
"Third Party Advisory"
],
"url": "https://github.com/npm/node-tar/security/advisories/GHSA-5955-9wpr-37jh"
},
{
"source": "af854a3a-2127-422b-91ae-364da2661108",
"tags": [
"Product",
"Third Party Advisory"
],
"url": "https://www.npmjs.com/package/tar"
},
{
"source": "af854a3a-2127-422b-91ae-364da2661108",
"tags": [
"Patch",
"Third Party Advisory"
],
"url": "https://www.oracle.com/security-alerts/cpuoct2021.html"
}
],
"sourceIdentifier": "security-advisories@github.com",
"vulnStatus": "Modified",
"weaknesses": [
{
"description": [
{
"lang": "en",
"value": "CWE-22"
}
],
"source": "security-advisories@github.com",
"type": "Secondary"
},
{
"description": [
{
"lang": "en",
"value": "CWE-22"
}
],
"source": "nvd@nist.gov",
"type": "Primary"
}
]
}
ghsa-5955-9wpr-37jh
Vulnerability from github
Published
2021-08-31 16:05
Modified
2021-08-31 16:02
Severity ?
VLAI Severity ?
Summary
Arbitrary File Creation/Overwrite on Windows via insufficient relative path sanitization
Details
Impact
Arbitrary File Creation, Arbitrary File Overwrite, Arbitrary Code Execution
node-tar aims to guarantee that any file whose location would be outside of the extraction target directory is not extracted. This is, in part, accomplished by sanitizing absolute paths of entries within the archive, skipping archive entries that contain .. path portions, and resolving the sanitized paths against the extraction target directory.
This logic was insufficient on Windows systems when extracting tar files that contained a path that was not an absolute path, but specified a drive letter different from the extraction target, such as C:some\path. If the drive letter does not match the extraction target, for example D:\extraction\dir, then the result of path.resolve(extractionDirectory, entryPath) would resolve against the current working directory on the C: drive, rather than the extraction target directory.
Additionally, a .. portion of the path could occur immediately after the drive letter, such as C:../foo, and was not properly sanitized by the logic that checked for .. within the normalized and split portions of the path.
This only affects users of node-tar on Windows systems.
Patches
4.4.18 || 5.0.10 || 6.1.9
Workarounds
There is no reasonable way to work around this issue without performing the same path normalization procedures that node-tar now does.
Users are encouraged to upgrade to the latest patched versions of node-tar, rather than attempt to sanitize paths themselves.
Fix
The fixed versions strip path roots from all paths prior to being resolved against the extraction target folder, even if such paths are not "absolute".
Additionally, a path starting with a drive letter and then two dots, like c:../, would bypass the check for .. path portions. This is checked properly in the patched versions.
Finally, a defense in depth check is added, such that if the entry.absolute is outside of the extraction taret, and we are not in preservePaths:true mode, a warning is raised on that entry, and it is skipped. Currently, it is believed that this check is redundant, but it did catch some oversights in development.
{
"affected": [
{
"package": {
"ecosystem": "npm",
"name": "tar"
},
"ranges": [
{
"events": [
{
"introduced": "0"
},
{
"fixed": "4.4.18"
}
],
"type": "ECOSYSTEM"
}
]
},
{
"package": {
"ecosystem": "npm",
"name": "tar"
},
"ranges": [
{
"events": [
{
"introduced": "5.0.0"
},
{
"fixed": "5.0.10"
}
],
"type": "ECOSYSTEM"
}
]
},
{
"package": {
"ecosystem": "npm",
"name": "tar"
},
"ranges": [
{
"events": [
{
"introduced": "6.0.0"
},
{
"fixed": "6.1.9"
}
],
"type": "ECOSYSTEM"
}
]
}
],
"aliases": [
"CVE-2021-37713"
],
"database_specific": {
"cwe_ids": [
"CWE-22"
],
"github_reviewed": true,
"github_reviewed_at": "2021-08-31T16:02:32Z",
"nvd_published_at": "2021-08-31T17:15:00Z",
"severity": "HIGH"
},
"details": "### Impact\n\nArbitrary File Creation, Arbitrary File Overwrite, Arbitrary Code Execution\n\nnode-tar aims to guarantee that any file whose location would be outside of the extraction target directory is not extracted. This is, in part, accomplished by sanitizing absolute paths of entries within the archive, skipping archive entries that contain `..` path portions, and resolving the sanitized paths against the extraction target directory.\n\nThis logic was insufficient on Windows systems when extracting tar files that contained a path that was not an absolute path, but specified a drive letter different from the extraction target, such as `C:some\\path`. If the drive letter does not match the extraction target, for example `D:\\extraction\\dir`, then the result of `path.resolve(extractionDirectory, entryPath)` would resolve against the current working directory on the `C:` drive, rather than the extraction target directory.\n\nAdditionally, a `..` portion of the path could occur immediately after the drive letter, such as `C:../foo`, and was not properly sanitized by the logic that checked for `..` within the normalized and split portions of the path.\n\nThis only affects users of `node-tar` on Windows systems.\n\n### Patches\n\n4.4.18 || 5.0.10 || 6.1.9\n\n### Workarounds\n\nThere is no reasonable way to work around this issue without performing the same path normalization procedures that node-tar now does.\n\nUsers are encouraged to upgrade to the latest patched versions of node-tar, rather than attempt to sanitize paths themselves.\n\n### Fix\n\nThe fixed versions strip path roots from all paths prior to being resolved against the extraction target folder, even if such paths are not \"absolute\".\n\nAdditionally, a path starting with a drive letter and then two dots, like `c:../`, would bypass the check for `..` path portions. This is checked properly in the patched versions.\n\nFinally, a defense in depth check is added, such that if the `entry.absolute` is outside of the extraction taret, and we are not in preservePaths:true mode, a warning is raised on that entry, and it is skipped. Currently, it is believed that this check is redundant, but it did catch some oversights in development.\n",
"id": "GHSA-5955-9wpr-37jh",
"modified": "2021-08-31T16:02:32Z",
"published": "2021-08-31T16:05:05Z",
"references": [
{
"type": "WEB",
"url": "https://github.com/npm/node-tar/security/advisories/GHSA-5955-9wpr-37jh"
},
{
"type": "ADVISORY",
"url": "https://nvd.nist.gov/vuln/detail/CVE-2021-37713"
},
{
"type": "WEB",
"url": "https://github.com/isaacs/node-tar/commit/52b09e309bcae0c741a7eb79a17ef36e7828b946"
},
{
"type": "WEB",
"url": "https://github.com/isaacs/node-tar/commit/82eac952f7c10765969ed464e549375854b26edc"
},
{
"type": "WEB",
"url": "https://github.com/isaacs/node-tar/commit/875a37e3ec031186fc6599f6807341f56c584598"
},
{
"type": "WEB",
"url": "https://cert-portal.siemens.com/productcert/pdf/ssa-389290.pdf"
},
{
"type": "PACKAGE",
"url": "https://github.com/npm/node-tar"
},
{
"type": "WEB",
"url": "https://www.npmjs.com/package/tar"
},
{
"type": "WEB",
"url": "https://www.oracle.com/security-alerts/cpuoct2021.html"
}
],
"schema_version": "1.4.0",
"severity": [
{
"score": "CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N",
"type": "CVSS_V3"
}
],
"summary": "Arbitrary File Creation/Overwrite on Windows via insufficient relative path sanitization"
}
gsd-2021-37713
Vulnerability from gsd
Modified
2023-12-13 01:23
Details
The npm package "tar" (aka node-tar) before versions 4.4.18, 5.0.10, and 6.1.9 has an arbitrary file creation/overwrite and arbitrary code execution vulnerability. node-tar aims to guarantee that any file whose location would be outside of the extraction target directory is not extracted. This is, in part, accomplished by sanitizing absolute paths of entries within the archive, skipping archive entries that contain `..` path portions, and resolving the sanitized paths against the extraction target directory. This logic was insufficient on Windows systems when extracting tar files that contained a path that was not an absolute path, but specified a drive letter different from the extraction target, such as `C:some\path`. If the drive letter does not match the extraction target, for example `D:\extraction\dir`, then the result of `path.resolve(extractionDirectory, entryPath)` would resolve against the current working directory on the `C:` drive, rather than the extraction target directory. Additionally, a `..` portion of the path could occur immediately after the drive letter, such as `C:../foo`, and was not properly sanitized by the logic that checked for `..` within the normalized and split portions of the path. This only affects users of `node-tar` on Windows systems. These issues were addressed in releases 4.4.18, 5.0.10 and 6.1.9. The v3 branch of node-tar has been deprecated and did not receive patches for these issues. If you are still using a v3 release we recommend you update to a more recent version of node-tar. There is no reasonable way to work around this issue without performing the same path normalization procedures that node-tar now does. Users are encouraged to upgrade to the latest patched versions of node-tar, rather than attempt to sanitize paths themselves.
Aliases
Aliases
{
"GSD": {
"alias": "CVE-2021-37713",
"description": "The npm package \"tar\" (aka node-tar) before versions 4.4.18, 5.0.10, and 6.1.9 has an arbitrary file creation/overwrite and arbitrary code execution vulnerability. node-tar aims to guarantee that any file whose location would be outside of the extraction target directory is not extracted. This is, in part, accomplished by sanitizing absolute paths of entries within the archive, skipping archive entries that contain `..` path portions, and resolving the sanitized paths against the extraction target directory. This logic was insufficient on Windows systems when extracting tar files that contained a path that was not an absolute path, but specified a drive letter different from the extraction target, such as `C:some\\path`. If the drive letter does not match the extraction target, for example `D:\\extraction\\dir`, then the result of `path.resolve(extractionDirectory, entryPath)` would resolve against the current working directory on the `C:` drive, rather than the extraction target directory. Additionally, a `..` portion of the path could occur immediately after the drive letter, such as `C:../foo`, and was not properly sanitized by the logic that checked for `..` within the normalized and split portions of the path. This only affects users of `node-tar` on Windows systems. These issues were addressed in releases 4.4.18, 5.0.10 and 6.1.9. The v3 branch of node-tar has been deprecated and did not receive patches for these issues. If you are still using a v3 release we recommend you update to a more recent version of node-tar. There is no reasonable way to work around this issue without performing the same path normalization procedures that node-tar now does. Users are encouraged to upgrade to the latest patched versions of node-tar, rather than attempt to sanitize paths themselves.",
"id": "GSD-2021-37713",
"references": [
"https://www.suse.com/security/cve/CVE-2021-37713.html",
"https://advisories.mageia.org/CVE-2021-37713.html"
]
},
"gsd": {
"metadata": {
"exploitCode": "unknown",
"remediation": "unknown",
"reportConfidence": "confirmed",
"type": "vulnerability"
},
"osvSchema": {
"aliases": [
"CVE-2021-37713"
],
"details": "The npm package \"tar\" (aka node-tar) before versions 4.4.18, 5.0.10, and 6.1.9 has an arbitrary file creation/overwrite and arbitrary code execution vulnerability. node-tar aims to guarantee that any file whose location would be outside of the extraction target directory is not extracted. This is, in part, accomplished by sanitizing absolute paths of entries within the archive, skipping archive entries that contain `..` path portions, and resolving the sanitized paths against the extraction target directory. This logic was insufficient on Windows systems when extracting tar files that contained a path that was not an absolute path, but specified a drive letter different from the extraction target, such as `C:some\\path`. If the drive letter does not match the extraction target, for example `D:\\extraction\\dir`, then the result of `path.resolve(extractionDirectory, entryPath)` would resolve against the current working directory on the `C:` drive, rather than the extraction target directory. Additionally, a `..` portion of the path could occur immediately after the drive letter, such as `C:../foo`, and was not properly sanitized by the logic that checked for `..` within the normalized and split portions of the path. This only affects users of `node-tar` on Windows systems. These issues were addressed in releases 4.4.18, 5.0.10 and 6.1.9. The v3 branch of node-tar has been deprecated and did not receive patches for these issues. If you are still using a v3 release we recommend you update to a more recent version of node-tar. There is no reasonable way to work around this issue without performing the same path normalization procedures that node-tar now does. Users are encouraged to upgrade to the latest patched versions of node-tar, rather than attempt to sanitize paths themselves.",
"id": "GSD-2021-37713",
"modified": "2023-12-13T01:23:09.909226Z",
"schema_version": "1.4.0"
}
},
"namespaces": {
"cve.org": {
"CVE_data_meta": {
"ASSIGNER": "security-advisories@github.com",
"ID": "CVE-2021-37713",
"STATE": "PUBLIC",
"TITLE": "Arbitrary File Creation/Overwrite on Windows via insufficient relative path sanitization"
},
"affects": {
"vendor": {
"vendor_data": [
{
"product": {
"product_data": [
{
"product_name": "node-tar",
"version": {
"version_data": [
{
"version_value": "\u003c 4.4.18"
},
{
"version_value": "\u003e= 5.0.0, \u003c 5.0.10"
},
{
"version_value": "\u003e= 6.0.0, \u003c 6.1.9"
}
]
}
}
]
},
"vendor_name": "npm"
}
]
}
},
"data_format": "MITRE",
"data_type": "CVE",
"data_version": "4.0",
"description": {
"description_data": [
{
"lang": "eng",
"value": "The npm package \"tar\" (aka node-tar) before versions 4.4.18, 5.0.10, and 6.1.9 has an arbitrary file creation/overwrite and arbitrary code execution vulnerability. node-tar aims to guarantee that any file whose location would be outside of the extraction target directory is not extracted. This is, in part, accomplished by sanitizing absolute paths of entries within the archive, skipping archive entries that contain `..` path portions, and resolving the sanitized paths against the extraction target directory. This logic was insufficient on Windows systems when extracting tar files that contained a path that was not an absolute path, but specified a drive letter different from the extraction target, such as `C:some\\path`. If the drive letter does not match the extraction target, for example `D:\\extraction\\dir`, then the result of `path.resolve(extractionDirectory, entryPath)` would resolve against the current working directory on the `C:` drive, rather than the extraction target directory. Additionally, a `..` portion of the path could occur immediately after the drive letter, such as `C:../foo`, and was not properly sanitized by the logic that checked for `..` within the normalized and split portions of the path. This only affects users of `node-tar` on Windows systems. These issues were addressed in releases 4.4.18, 5.0.10 and 6.1.9. The v3 branch of node-tar has been deprecated and did not receive patches for these issues. If you are still using a v3 release we recommend you update to a more recent version of node-tar. There is no reasonable way to work around this issue without performing the same path normalization procedures that node-tar now does. Users are encouraged to upgrade to the latest patched versions of node-tar, rather than attempt to sanitize paths themselves."
}
]
},
"impact": {
"cvss": {
"attackComplexity": "LOW",
"attackVector": "LOCAL",
"availabilityImpact": "NONE",
"baseScore": 8.2,
"baseSeverity": "HIGH",
"confidentialityImpact": "HIGH",
"integrityImpact": "HIGH",
"privilegesRequired": "NONE",
"scope": "CHANGED",
"userInteraction": "REQUIRED",
"vectorString": "CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N",
"version": "3.1"
}
},
"problemtype": {
"problemtype_data": [
{
"description": [
{
"lang": "eng",
"value": "CWE-22: Improper Limitation of a Pathname to a Restricted Directory (\u0027Path Traversal\u0027)"
}
]
}
]
},
"references": {
"reference_data": [
{
"name": "https://www.npmjs.com/package/tar",
"refsource": "MISC",
"url": "https://www.npmjs.com/package/tar"
},
{
"name": "https://github.com/npm/node-tar/security/advisories/GHSA-5955-9wpr-37jh",
"refsource": "CONFIRM",
"url": "https://github.com/npm/node-tar/security/advisories/GHSA-5955-9wpr-37jh"
},
{
"name": "https://www.oracle.com/security-alerts/cpuoct2021.html",
"refsource": "MISC",
"url": "https://www.oracle.com/security-alerts/cpuoct2021.html"
},
{
"name": "https://cert-portal.siemens.com/productcert/pdf/ssa-389290.pdf",
"refsource": "CONFIRM",
"url": "https://cert-portal.siemens.com/productcert/pdf/ssa-389290.pdf"
}
]
},
"source": {
"advisory": "GHSA-5955-9wpr-37jh",
"discovery": "UNKNOWN"
}
},
"gitlab.com": {
"advisories": [
{
"affected_range": "\u003c4.4.18||\u003e=5.0.0 \u003c5.0.10||\u003e=6.0.0 \u003c6.1.9",
"affected_versions": "All versions before 4.4.18, all versions starting from 5.0.0 before 5.0.10, all versions starting from 6.0.0 before 6.1.9",
"cvss_v2": "AV:L/AC:M/Au:N/C:P/I:P/A:P",
"cvss_v3": "CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H",
"cwe_ids": [
"CWE-1035",
"CWE-22",
"CWE-937"
],
"date": "2022-04-25",
"description": "The npm package \"tar\" (aka node-tar) has an arbitrary file creation/overwrite and arbitrary code execution vulnerability. node-tar aims to guarantee that any file whose location would be outside of the extraction target directory is not extracted.",
"fixed_versions": [
"4.4.18",
"5.0.10",
"6.1.9"
],
"identifier": "CVE-2021-37713",
"identifiers": [
"CVE-2021-37713",
"GHSA-5955-9wpr-37jh"
],
"not_impacted": "All versions starting from 4.4.18 before 5.0.0, all versions starting from 5.0.10 before 6.0.0, all versions starting from 6.1.9",
"package_slug": "npm/tar",
"pubdate": "2021-08-31",
"solution": "Upgrade to versions 4.4.18, 5.0.10, 6.1.9 or above.",
"title": "Improper Limitation of a Pathname to a Restricted Directory (\u0027Path Traversal\u0027)",
"urls": [
"https://nvd.nist.gov/vuln/detail/CVE-2021-37713",
"https://github.com/npm/node-tar/security/advisories/GHSA-5955-9wpr-37jh"
],
"uuid": "0d9593eb-b60c-4660-be63-86a74d5fe541"
}
]
},
"nvd.nist.gov": {
"configurations": {
"CVE_data_version": "4.0",
"nodes": [
{
"children": [
{
"children": [],
"cpe_match": [
{
"cpe23Uri": "cpe:2.3:a:npmjs:tar:*:*:*:*:*:node.js:*:*",
"cpe_name": [],
"versionEndExcluding": "4.4.18",
"vulnerable": true
},
{
"cpe23Uri": "cpe:2.3:a:npmjs:tar:*:*:*:*:*:node.js:*:*",
"cpe_name": [],
"versionEndExcluding": "5.0.10",
"versionStartIncluding": "5.0.0",
"vulnerable": true
},
{
"cpe23Uri": "cpe:2.3:a:npmjs:tar:*:*:*:*:*:node.js:*:*",
"cpe_name": [],
"versionEndExcluding": "6.1.9",
"versionStartIncluding": "6.0.0",
"vulnerable": true
}
],
"operator": "OR"
},
{
"children": [],
"cpe_match": [
{
"cpe23Uri": "cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*",
"cpe_name": [],
"vulnerable": false
}
],
"operator": "OR"
}
],
"cpe_match": [],
"operator": "AND"
},
{
"children": [],
"cpe_match": [
{
"cpe23Uri": "cpe:2.3:a:oracle:graalvm:20.3.3:*:*:*:enterprise:*:*:*",
"cpe_name": [],
"vulnerable": true
},
{
"cpe23Uri": "cpe:2.3:a:oracle:graalvm:21.2.0:*:*:*:enterprise:*:*:*",
"cpe_name": [],
"vulnerable": true
}
],
"operator": "OR"
},
{
"children": [],
"cpe_match": [
{
"cpe23Uri": "cpe:2.3:a:siemens:sinec_infrastructure_network_services:*:*:*:*:*:*:*:*",
"cpe_name": [],
"versionEndExcluding": "1.0.1.1",
"vulnerable": true
}
],
"operator": "OR"
}
]
},
"cve": {
"CVE_data_meta": {
"ASSIGNER": "security-advisories@github.com",
"ID": "CVE-2021-37713"
},
"data_format": "MITRE",
"data_type": "CVE",
"data_version": "4.0",
"description": {
"description_data": [
{
"lang": "en",
"value": "The npm package \"tar\" (aka node-tar) before versions 4.4.18, 5.0.10, and 6.1.9 has an arbitrary file creation/overwrite and arbitrary code execution vulnerability. node-tar aims to guarantee that any file whose location would be outside of the extraction target directory is not extracted. This is, in part, accomplished by sanitizing absolute paths of entries within the archive, skipping archive entries that contain `..` path portions, and resolving the sanitized paths against the extraction target directory. This logic was insufficient on Windows systems when extracting tar files that contained a path that was not an absolute path, but specified a drive letter different from the extraction target, such as `C:some\\path`. If the drive letter does not match the extraction target, for example `D:\\extraction\\dir`, then the result of `path.resolve(extractionDirectory, entryPath)` would resolve against the current working directory on the `C:` drive, rather than the extraction target directory. Additionally, a `..` portion of the path could occur immediately after the drive letter, such as `C:../foo`, and was not properly sanitized by the logic that checked for `..` within the normalized and split portions of the path. This only affects users of `node-tar` on Windows systems. These issues were addressed in releases 4.4.18, 5.0.10 and 6.1.9. The v3 branch of node-tar has been deprecated and did not receive patches for these issues. If you are still using a v3 release we recommend you update to a more recent version of node-tar. There is no reasonable way to work around this issue without performing the same path normalization procedures that node-tar now does. Users are encouraged to upgrade to the latest patched versions of node-tar, rather than attempt to sanitize paths themselves."
}
]
},
"problemtype": {
"problemtype_data": [
{
"description": [
{
"lang": "en",
"value": "CWE-22"
}
]
}
]
},
"references": {
"reference_data": [
{
"name": "https://github.com/npm/node-tar/security/advisories/GHSA-5955-9wpr-37jh",
"refsource": "CONFIRM",
"tags": [
"Patch",
"Third Party Advisory"
],
"url": "https://github.com/npm/node-tar/security/advisories/GHSA-5955-9wpr-37jh"
},
{
"name": "https://www.npmjs.com/package/tar",
"refsource": "MISC",
"tags": [
"Product",
"Third Party Advisory"
],
"url": "https://www.npmjs.com/package/tar"
},
{
"name": "https://www.oracle.com/security-alerts/cpuoct2021.html",
"refsource": "MISC",
"tags": [
"Patch",
"Third Party Advisory"
],
"url": "https://www.oracle.com/security-alerts/cpuoct2021.html"
},
{
"name": "https://cert-portal.siemens.com/productcert/pdf/ssa-389290.pdf",
"refsource": "CONFIRM",
"tags": [
"Patch",
"Third Party Advisory"
],
"url": "https://cert-portal.siemens.com/productcert/pdf/ssa-389290.pdf"
}
]
}
},
"impact": {
"baseMetricV2": {
"acInsufInfo": false,
"cvssV2": {
"accessComplexity": "MEDIUM",
"accessVector": "LOCAL",
"authentication": "NONE",
"availabilityImpact": "PARTIAL",
"baseScore": 4.4,
"confidentialityImpact": "PARTIAL",
"integrityImpact": "PARTIAL",
"vectorString": "AV:L/AC:M/Au:N/C:P/I:P/A:P",
"version": "2.0"
},
"exploitabilityScore": 3.4,
"impactScore": 6.4,
"obtainAllPrivilege": false,
"obtainOtherPrivilege": false,
"obtainUserPrivilege": false,
"severity": "MEDIUM",
"userInteractionRequired": true
},
"baseMetricV3": {
"cvssV3": {
"attackComplexity": "LOW",
"attackVector": "LOCAL",
"availabilityImpact": "HIGH",
"baseScore": 8.6,
"baseSeverity": "HIGH",
"confidentialityImpact": "HIGH",
"integrityImpact": "HIGH",
"privilegesRequired": "NONE",
"scope": "CHANGED",
"userInteraction": "REQUIRED",
"vectorString": "CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H",
"version": "3.1"
},
"exploitabilityScore": 1.8,
"impactScore": 6.0
}
},
"lastModifiedDate": "2022-04-25T18:40Z",
"publishedDate": "2021-08-31T17:15Z"
}
}
}
Loading…
Loading…
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
- Confirmed: The vulnerability is confirmed from an analyst perspective.
- Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
- Patched: This vulnerability was successfully patched by the user reporting the sighting.
- Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
- Not confirmed: The user expresses doubt about the veracity of the vulnerability.
- Not patched: This vulnerability was not successfully patched by the user reporting the sighting.
Loading…
Loading…