Node.js Security-Updates für August veröffentlicht

Node.js Security-Updates August 2019: Node v8.16.1, v10.16.3 und v12.8.1 beheben acht Sicherheitslücken

Ann-Cathrin Klose

© Shutterstock / Omelchenko

Node.js erhält jeden Monat ein umfassendes Sicherheitsupdate für alle derzeit aktiven und in der LTS-Phase befindlichen Releasezweige. Derzeit sind das Node 8, 10 und 12. Gefixed wurden für alle drei Versionen nun gleich acht Sicherheitslücken.

Node.js hat drei Updates bekommen. Node v8.16.1, v10.16.3 und v12.8.1 sind da! Diese Häufung der Releases deutet bereits darauf hin, dass es sich um eine koordinierte Aktion handelt. So ist es auch: Die drei genannten Versionen wurden im Rahmen der August-Security-Updates für Node.js veröffentlicht. Behoben wurden acht Sicherheitslücken.

Node.js: Sicherheitsupdates im August

Data Dribble, Ping Flood, Resource Loop, Reset Flood, Settings Flood, 0-Length Headers Leak, Internal Data Buffering und Empty Frames Flood: So heißen die acht geschlossenen Sicherheitslücken, die in Node.js gefunden worden waren. Bei letzterem handelt es sich um genau das, was der Name bereits besagt. Bei der Empty Frames Flood wird eine große Zahl leerer Frames ohne End-of-Stream-Flag gesendet, wodurch so viel Bandbreite und CPU verbraucht werden können, dass sogar ein Denial of Service möglich wäre. Ähnlich funktioniert auch der Angriff „Resource Loop“, bei dem multiple Request-Streams erzeugt werden, deren Priorität sich kontinuierlich verändert. So soll der Priority Tree durcheinander gebracht und eine hohe CPU-Auslastung erzeugt werden.

Alle genannten Angriffe sind in den nun veröffentlichten Node-Versionen aber nicht mehr möglich. Genauere Informationen zu den gefixten Sicherheitslücken sowie den neuen Versionen von Node.js können dem offiziellen Node-Blog entnommen werden.

Geschrieben von
Ann-Cathrin Klose
Ann-Cathrin Klose
Ann-Cathrin Klose hat allgemeine Sprachwissenschaft, Geschichte und Philosophie an der Johannes Gutenberg-Universität Mainz studiert. Bereits seit Februar 2015 arbeitete sie als redaktionelle Assistentin bei Software & Support Media und ist seit Oktober 2017 Redakteurin. Zuvor war sie als freie Autorin tätig, ihre ersten redaktionellen Erfahrungen hat sie bei einer Tageszeitung gesammelt.
Kommentare

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
4000
  Subscribe  
Benachrichtige mich zu: