Updates beheben mehrere Schwachstellen in der JavaScript-Runtime-Plattform

Node.js erhält Security-Fixes für Node v0.10.x, v0.12.x, v4.2.x und v5.6.x
Kommentare

Bereits vor knapp zwei Wochen waren die Security-Fixes für alle Versionen der JavaScript-Runtime-Plattform Node.js angekündigt worden, nun stehen die Updates endlich zur Verfügung. Im Vordergrund stehen dabei Fixes für mehrere Schwachstellen in Node.js, die vor allem auch die versprochenen Fixes für die OpenSSL-Schwachstellen implementieren.

Im Node.js-Blog hat Rod Vagg alle Informationen zu den Security-Updates für Node zusammengefasst.

Updates beheben Schwachstellen in allen Node-Versionen

Ursprünglich waren zwei als „high severity“ eingestufte Sicherheitslücken in OpenSSL Grund für die Ankündigung, auch Node.js mit neuen Security-Updates zu versorgen. Betroffen sind dabei alle Node-Versionen inklusive der aktuellen LTS-Version Node v4.x. Mit den nun erschienenen Versionen Node.js v0.10.42, v0.12.10, v4.3.0 und v5.6.0 wurden die entsprechenden Fixes für die gefundenen Schwachstellen sowie die Updates von OpenSSL implementiert.

Write solid JavaScript Code with TypeScript

mit Thomas Claudius Huber (Trivadis Services AG)

Unlock the Power of JavaScript Decorators

mit Nir Kaufman (500Tech)

API Summit 2017

Moderne Web APIs mit Node.js – volle Power im Backend

mit Manuel Rauber (Thinktecture), Sven Kölpin (Open Knowledge)

API First mit Swagger & Co.

mit Thilo Frotscher (Freiberufler)

Bei den Schwachstellen handelt es sich zum einen um eine Sicherheitslücke, die unter bestimmten Bedingungen Request-Schmuggel ermöglicht (CVE-2016-2086). Um dieses Problem zu beheben, wurde das HTTP-Header-Parsing sowohl für Requests als auch für Antworten der formellen HTTP-Spezifikation zum Umgang mit Content-Length angenähert.

Zum anderen ist Node.js von einer Schwachstelle betroffen, bei der das HTTP-Header-Parsing zur Ausführung von Responsive-Splitting-Angriffen genutzt werden kann (CVE-2016-2216). Auch hier dient die Annäherung des HTTP-Header-Parsings an die formelle HTTP-Spezifikation zum Schutz gegen mögliche Angriffe; zudem werden nun HTTP-Header, die Zeichen außerhalb des validen Sets für Token beinhalten, abgelehnt.

Dabei handelt es sich, so erklärt Vagg, um einen Breaking-Change, der normalerweise für eine Änderung der semver-Major-Version sorgen würde; in diesem Fall begnügt man sich jedoch damit, die Neuerung als semver-Minor in Node.js v4.x zu implementieren:

This change is therefore a breaking change that would normally be reserved for a semver-major version increment. However, as per our LTS policy, we are introducing this change as a semver-minor in Node.js v4 (hence the move from v4.2.x to v4.3.x) and v5 and semver-patch in v0.10 and v0.12.

Das Update auf eine der neuen Versionen wird allen Usern von Node.js empfohlen. Mehr Informationen zu den jeweiligen Änderungen in den Updates bieten die entsprechenden Blogposts im Node.js-Blog:

Dort stehen die neuen Versionen auch jeweils zur Installation zur Verfügung.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -