Updates beheben mehrere Schwachstellen in der JavaScript-Runtime-Plattform

Node.js erhält Security-Fixes für Node v0.10.x, v0.12.x, v4.2.x und v5.6.x
Keine Kommentare

Bereits vor knapp zwei Wochen waren die Security-Fixes für alle Versionen der JavaScript-Runtime-Plattform Node.js angekündigt worden, nun stehen die Updates endlich zur Verfügung. Im Vordergrund stehen dabei Fixes für mehrere Schwachstellen in Node.js, die vor allem auch die versprochenen Fixes für die OpenSSL-Schwachstellen implementieren.

Im Node.js-Blog hat Rod Vagg alle Informationen zu den Security-Updates für Node zusammengefasst.

Updates beheben Schwachstellen in allen Node-Versionen

Ursprünglich waren zwei als „high severity“ eingestufte Sicherheitslücken in OpenSSL Grund für die Ankündigung, auch Node.js mit neuen Security-Updates zu versorgen. Betroffen sind dabei alle Node-Versionen inklusive der aktuellen LTS-Version Node v4.x. Mit den nun erschienenen Versionen Node.js v0.10.42, v0.12.10, v4.3.0 und v5.6.0 wurden die entsprechenden Fixes für die gefundenen Schwachstellen sowie die Updates von OpenSSL implementiert.

Angular Kickstart: von 0 auf 100

mit Christian Liebel (Thinktecture AG) und Peter Müller (Freelancer)

JavaScript für Softwareentwickler – für Einsteiger und Umsteiger

mit Yara Mayer (evia) und Sebastian Springer (MaibornWolff)

Bei den Schwachstellen handelt es sich zum einen um eine Sicherheitslücke, die unter bestimmten Bedingungen Request-Schmuggel ermöglicht (CVE-2016-2086). Um dieses Problem zu beheben, wurde das HTTP-Header-Parsing sowohl für Requests als auch für Antworten der formellen HTTP-Spezifikation zum Umgang mit Content-Length angenähert.

Zum anderen ist Node.js von einer Schwachstelle betroffen, bei der das HTTP-Header-Parsing zur Ausführung von Responsive-Splitting-Angriffen genutzt werden kann (CVE-2016-2216). Auch hier dient die Annäherung des HTTP-Header-Parsings an die formelle HTTP-Spezifikation zum Schutz gegen mögliche Angriffe; zudem werden nun HTTP-Header, die Zeichen außerhalb des validen Sets für Token beinhalten, abgelehnt.

Dabei handelt es sich, so erklärt Vagg, um einen Breaking-Change, der normalerweise für eine Änderung der semver-Major-Version sorgen würde; in diesem Fall begnügt man sich jedoch damit, die Neuerung als semver-Minor in Node.js v4.x zu implementieren:

This change is therefore a breaking change that would normally be reserved for a semver-major version increment. However, as per our LTS policy, we are introducing this change as a semver-minor in Node.js v4 (hence the move from v4.2.x to v4.3.x) and v5 and semver-patch in v0.10 and v0.12.

Das Update auf eine der neuen Versionen wird allen Usern von Node.js empfohlen. Mehr Informationen zu den jeweiligen Änderungen in den Updates bieten die entsprechenden Blogposts im Node.js-Blog:

Dort stehen die neuen Versionen auch jeweils zur Installation zur Verfügung.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
400
  Subscribe  
Benachrichtige mich zu:
X
- Gib Deinen Standort ein -
- or -