Node.js Security-Updates für August veröffentlicht

Node.js Security-Updates August 2019: Node v8.16.1, v10.16.3 und v12.8.1 beheben acht Sicherheitslücken
Keine Kommentare

Node.js erhält jeden Monat ein umfassendes Sicherheitsupdate für alle derzeit aktiven und in der LTS-Phase befindlichen Releasezweige. Derzeit sind das Node 8, 10 und 12. Gefixed wurden für alle drei Versionen nun gleich acht Sicherheitslücken.

Node.js hat drei Updates bekommen. Node v8.16.1, v10.16.3 und v12.8.1 sind da! Diese Häufung der Releases deutet bereits darauf hin, dass es sich um eine koordinierte Aktion handelt. So ist es auch: Die drei genannten Versionen wurden im Rahmen der August-Security-Updates für Node.js veröffentlicht. Behoben wurden acht Sicherheitslücken.

Node.js: Sicherheitsupdates im August

Data Dribble, Ping Flood, Resource Loop, Reset Flood, Settings Flood, 0-Length Headers Leak, Internal Data Buffering und Empty Frames Flood: So heißen die acht geschlossenen Sicherheitslücken, die in Node.js gefunden worden waren. Bei letzterem handelt es sich um genau das, was der Name bereits besagt. Bei der Empty Frames Flood wird eine große Zahl leerer Frames ohne End-of-Stream-Flag gesendet, wodurch so viel Bandbreite und CPU verbraucht werden können, dass sogar ein Denial of Service möglich wäre. Ähnlich funktioniert auch der Angriff „Resource Loop“, bei dem multiple Request-Streams erzeugt werden, deren Priorität sich kontinuierlich verändert. So soll der Priority Tree durcheinander gebracht und eine hohe CPU-Auslastung erzeugt werden.

Alle genannten Angriffe sind in den nun veröffentlichten Node-Versionen aber nicht mehr möglich. Genauere Informationen zu den gefixten Sicherheitslücken sowie den neuen Versionen von Node.js können dem offiziellen Node-Blog entnommen werden.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
400
  Subscribe  
Benachrichtige mich zu:
X
- Gib Deinen Standort ein -
- or -