Updates beheben mehrere Schwachstellen in der JavaScript-Runtime-Plattform

Node.js erhält Security-Fixes für Node v0.10.x, v0.12.x, v4.2.x und v5.6.x
Kommentare

Bereits vor knapp zwei Wochen waren die Security-Fixes für alle Versionen der JavaScript-Runtime-Plattform Node.js angekündigt worden, nun stehen die Updates endlich zur Verfügung. Im Vordergrund stehen dabei Fixes für mehrere Schwachstellen in Node.js, die vor allem auch die versprochenen Fixes für die OpenSSL-Schwachstellen implementieren.

Im Node.js-Blog hat Rod Vagg alle Informationen zu den Security-Updates für Node zusammengefasst.

Updates beheben Schwachstellen in allen Node-Versionen

Ursprünglich waren zwei als „high severity“ eingestufte Sicherheitslücken in OpenSSL Grund für die Ankündigung, auch Node.js mit neuen Security-Updates zu versorgen. Betroffen sind dabei alle Node-Versionen inklusive der aktuellen LTS-Version Node v4.x. Mit den nun erschienenen Versionen Node.js v0.10.42, v0.12.10, v4.3.0 und v5.6.0 wurden die entsprechenden Fixes für die gefundenen Schwachstellen sowie die Updates von OpenSSL implementiert.

API Summit 2017

JavaScript Testing in der Praxis

mit Dominik Ehrenberg (crosscan) & Sebastian Springer (MaibornWolff)

Node.js Quickstart

mit Sebastian Springer (MaibornWolff)

International JavaScript Conference 2018

GraphQL – where did all my endpoints go?

mit Chris Noring (McKinsey)

Make Node.js API’s great with TypeScript

mit Dmytro Zharkov (Zalando)

Bei den Schwachstellen handelt es sich zum einen um eine Sicherheitslücke, die unter bestimmten Bedingungen Request-Schmuggel ermöglicht (CVE-2016-2086). Um dieses Problem zu beheben, wurde das HTTP-Header-Parsing sowohl für Requests als auch für Antworten der formellen HTTP-Spezifikation zum Umgang mit Content-Length angenähert.

Zum anderen ist Node.js von einer Schwachstelle betroffen, bei der das HTTP-Header-Parsing zur Ausführung von Responsive-Splitting-Angriffen genutzt werden kann (CVE-2016-2216). Auch hier dient die Annäherung des HTTP-Header-Parsings an die formelle HTTP-Spezifikation zum Schutz gegen mögliche Angriffe; zudem werden nun HTTP-Header, die Zeichen außerhalb des validen Sets für Token beinhalten, abgelehnt.

Dabei handelt es sich, so erklärt Vagg, um einen Breaking-Change, der normalerweise für eine Änderung der semver-Major-Version sorgen würde; in diesem Fall begnügt man sich jedoch damit, die Neuerung als semver-Minor in Node.js v4.x zu implementieren:

This change is therefore a breaking change that would normally be reserved for a semver-major version increment. However, as per our LTS policy, we are introducing this change as a semver-minor in Node.js v4 (hence the move from v4.2.x to v4.3.x) and v5 and semver-patch in v0.10 and v0.12.

Das Update auf eine der neuen Versionen wird allen Usern von Node.js empfohlen. Mehr Informationen zu den jeweiligen Änderungen in den Updates bieten die entsprechenden Blogposts im Node.js-Blog:

Dort stehen die neuen Versionen auch jeweils zur Installation zur Verfügung.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -