Node.js: Security Releases November 2018

Node.js 11.3: Die Node-Sicherheitsupdates im November

Ann-Cathrin Klose

© Shutterstock / deepadesigns

Alle aktuell gepflegten Releasezweige von Node.js haben Updates bekommen – von Node 11.3 als aktuellem Releasezweig bis runter zu Node 6.15 als Maintanence-Release. Zwei Wege zur DoS-Attacke und einige weitere Sicherheitslücken wurden behoben.

Node.js 6 und 8 haben ein Upgrade auf OpenSSL 1.0.2q bekommen, Node.js 10 und 11 arbeiten in den nun veröffentlichten Versionen mit OpenSSL 1.1.0j. Diese Upgrades erfolgten im Rahmen der Security-Releases von Node.js im November 2018. Veröffentlicht wurden Node v11.3, v10.14, v8.14 und v6.15. Das Security-Release umfasst also alle aktuell gepflegten Node-Versionen.

In Node 6 wurde eine Schwachstelle mit hohem Schweregrad behoben. Über den Debugger hat Port 5858 bisher auf alle Interfaces reagiert, die den Port aufgerufen haben, wenn der Debugger über node --debug oder node debug verwendet wurde. Zu Node.js 8 wurde diese Version des Debuggers entfernt, sodass neuere Versionen nicht betroffen sind. Für Node 6 ist nun Localhost als Default-Interface gesetzt worden.

Denial of Service: Schwachstelle in allen Node.js-Versionen ab v6

Für alle vier Node-Versionen relevant ist außerdem der Patch für eine weitere Schwachstelle, deren Schweregrad ebenfalls als hoch eingestuft wurde. In diesem Fall war es möglich, einen Denial-of-Service über HTTP-Header in Maximalgröße zu erreichen. Eine weitere Möglichkeit für Denial-of-Service-Attacken, die nun beseitigt wurde, bestand darin, HTTP- und HTTPS-Verbindungen durch langsame Datenübertragung sehr lange aufrecht zu erhalten. Auch diese Schwachstelle betraf alle Node-Versionen ab Version 6, sie wurde aber mit einem niedrigen Schweregrad bewertet.

Nähere Informationen zu diesen und weiteren Schwachstellen, die in Node.js 11.3.0 (Current), Node.js 10.14.0 (LTS „Dubnium“), Node.js 8.14.0 (LTS „Carbon“) und Node.js 6.15.0 (LTS „Boron“) behoben wurden, können den Release Notes zum Security Release entnommen werden.

Verwandte Themen:

Geschrieben von
Ann-Cathrin Klose
Ann-Cathrin Klose
Ann-Cathrin Klose hat allgemeine Sprachwissenschaft, Geschichte und Philosophie an der Johannes Gutenberg-Universität Mainz studiert. Bereits seit Februar 2015 arbeitete sie als redaktionelle Assistentin bei Software & Support Media und ist seit Oktober 2017 Redakteurin. Zuvor war sie als freie Autorin tätig, ihre ersten redaktionellen Erfahrungen hat sie bei einer Tageszeitung gesammelt.
Kommentare

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
400
  Subscribe  
Benachrichtige mich zu: