Node Security Updates Februar 2019

Node.js-Sicherheitsupdates: Node v11.10.1 (Current), v10.15.2 (LTS), v8.15.1 (LTS), v6.17.0 (LTS) veröffentlicht

Ann-Cathrin Klose

© Shutterstock / Pasko Maksim

Auch im Februar hat Node.js wieder Security-Updates für alle aktuell gepflegten Versionen veröffentlicht. Mit Node v11.10.1 (Current), v10.15.2 (LTS), v8.15.1 (LTS), v6.17.0 (LTS) stehen vier Updates zum Download bereit, die Schwachstellen im Bereich eines niedrigen bis mittleren Schweregrads beheben.

Jeden Monat erhält Node.js Security-Updates, die für alle aktuell entwickelten Versionen bereitgestellt werden. Nun sind die Februar-Releases da. In Node v11.10.1 (Current), v10.15.2 (LTS), v8.15.1 (LTS) und v6.17.0 (LTS) wurden insgesamt drei verschiedene Sicherheitslücken geschlossen.

Node.js Security Updates Februar 2019

Eine der nun behobenen Schwachstellen betrifft alle vier Releasezweige von Node.js, die aktuell gepflegt werden. HTTP- und HTTPS -Verbindungen im Keep-Alive-Modus konnten durch diese Schwachstelle genutzt werden, um eine Denial-of-Service-Attacke (DOS) durchzuführen. Das Senden von Header-Informationen ließ sich dafür deutlich verlangsamen, sodass Ressourcen lange belegt blieben. Diese Sicherheitslücke wird unter der Nummer CVE-2019-5737 geführt. Das Node-Security-Team weist jedoch auch darauf hin, dass ein Load Balancer oder die Nutzung eines Proxys möglicherweise bereits ausreichend gewesen sein könnte, um Angriffe in der Praxis zu verhindern. Node v11.10.1 (Current), v10.15.2 (LTS), v8.15.1 (LTS) und v6.17.0 (LTS) beheben diese Schwachstelle, der ein niedriger Schweregrad zugewiesen wurde.

In Node.js 6 bestand eine weitere Möglichkeit zur Durchführung von DOS-Angriffen. Inaktive HTTP- und HTTPS-Verbindungen konnten dazu zwei Minuten lang aufrecht erhalten werden. In der nun veröffentlichten Version Node 6.17 wurde zur Lösung des Problems eine Timeout-Funktion implementiert, die seit Node.js 8.0.0 zum Standard gehört. Dadurch waren Node 8 und höher nicht von dieser Sicherheitslücke betroffen.

OpenSSL-Schwachstelle in Node 6 & Node 8

Die dritte Schwachstelle, die nun behoben wurde, betraf Node 6 und 8 und hat ihren Ursprung in der dort verwendeten Version von OpenSSL. Hier wurde ein Upgrade auf OpenSSL 1.0.2r vorgenommen, das den entsprechenden Fehler behebt. Die Sicherheitslücke hat einen mittleren Schweregrad und ermöglichte eine Padding Oracle Attack auf den TSL-Server. Neure Versionen von Node.js verwenden eine höhere OpenSSL-Version, die diese Sicherheitslücke nicht aufwies.

Node v11.10.1 (Current), v10.15.2 (LTS), v8.15.1 (LTS) und v6.17.0 (LTS) stehen zum Download bereit. Weitere Informationen können der Ankündigung im Node.js-Blog und den jeweiligen Release Notes zu den neuen Versionen entnommen werden:

Node.js 11.10.1 (Current)
Node.js 10.15.2 (LTS)
Node.js 8.15.1 (LTS)
Node.js 6.17.0 (LTS)

Verwandte Themen:

Geschrieben von
Ann-Cathrin Klose
Ann-Cathrin Klose
Ann-Cathrin Klose hat allgemeine Sprachwissenschaft, Geschichte und Philosophie an der Johannes Gutenberg-Universität Mainz studiert. Bereits seit Februar 2015 arbeitete sie als redaktionelle Assistentin bei Software & Support Media und ist seit Oktober 2017 Redakteurin. Zuvor war sie als freie Autorin tätig, ihre ersten redaktionellen Erfahrungen hat sie bei einer Tageszeitung gesammelt.
Kommentare

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
4000
  Subscribe  
Benachrichtige mich zu: