Node.js hat drei Updates bekommen. Node v8.16.1, v10.16.3 und v12.8.1 sind da! Diese Häufung der Releases deutet bereits darauf hin, dass es sich um eine koordinierte Aktion handelt. So ist es auch: Die drei genannten Versionen wurden im Rahmen der August-Security-Updates für Node.js veröffentlicht. Behoben wurden acht Sicherheitslücken.

Node.js: Sicherheitsupdates im August

Data Dribble, Ping Flood, Resource Loop, Reset Flood, Settings Flood, 0-Length Headers Leak, Internal Data Buffering und Empty Frames Flood: So heißen die acht geschlossenen Sicherheitslücken, die in Node.js gefunden worden waren. Bei letzterem handelt es sich um genau das, was der Name bereits besagt. Bei der Empty Frames Flood wird eine große Zahl leerer Frames ohne End-of-Stream-Flag gesendet, wodurch so viel Bandbreite und CPU verbraucht werden können, dass sogar ein Denial of Service möglich wäre. Ähnlich funktioniert auch der Angriff „Resource Loop“, bei dem multiple Request-Streams erzeugt werden, deren Priorität sich kontinuierlich verändert. So soll der Priority Tree durcheinander gebracht und eine hohe CPU-Auslastung erzeugt werden.

Alle genannten Angriffe sind in den nun veröffentlichten Node-Versionen aber nicht mehr möglich. Genauere Informationen zu den gefixten Sicherheitslücken sowie den neuen Versionen von Node.js können dem offiziellen Node-Blog entnommen werden.