Die Security-Welt steht nicht still und das Node-Team ist bekanntlich schnell darin, ihre aktuell gepflegten Releasezweige in dieser Hinsicht auf dem neusten Stand zu halten. Auch diesen Monat gab es darum wieder eine Security-Release-Runde bei Node, die Updates für beide LTS- und den aktuellen Relesaezweig mitbringt. Node.js 10.9.0, v8.11.4 (LTS) und v6.14.4 (LTS) wurden veröffentlicht.
Node.js 10.9.0, 8.11.4 (LTS) und v6.14.4 (LTS): Security-Updates
Die neuen Node-Versionen schließen verschiedene Sicherheitslücken. In OpenSSL 1.1.0 und 1.0.2 waren zuvor Probleme bekannt geworden, die dort mit entsprechenden Updates geschlossen worden sind. OpenSSL 1.1.0i und 1.0.2p wurden entsprechend in die nun veröffentlichten Node-Updates integriert. Eine Sicherheitslücke, die im Rahmen der TSL-Kommunikation auftrat, machte DoS-Angriffe auf den Client möglich. Außerdem war in vorherigen Versionen von OpenSSL das Ausspähen von privaten DSA- und ECDSA-Schlüsseln möglich, wenn der Angreifer Zugang zum Cache-Timing hatte.
In Node 10 wurde außerdem eine Schwachstelle in Buffer.alloc()
gefunden, die dazu führte, dass uninitialisierter Speicher zurückgegeben wurde. In bestimmten Fällen konnten so sensible Nutzerdaten mit übergeben werden. Auch diese Sicherheitslücke wurde mit den August-Updates von Node.js jedoch geschlossen. Alle drei nun aktualisierten Releasezweige sind außerdem von einer anderen Sicherheitslücke betroffen gewesen, die ebenfalls in Buffer
aufgetreten ist. Memory konnte außerhalb des zugewiesenen Raums gespeichert werden und Node so zum Absturz bringen. Alle Informationen zu den aktuellen Security-Releases sind im Node-Blog zu finden.
Neues für Node 10.9.0
Node.js 10.9.0 enthält außerdem einige weitere Updates, wie den Release Notes zur Version zu entnehmen ist. So wurde ein Upgrade auf V8 Version 6.8 vorgenommen, das die Performance verbessern soll. Außerdem erlauben http.get()
und http.request()
nun drei Argumente, sodass die Objekte URL
und options
beide übergeben werden können. Alle weiteren Informationen zum Release können dem Node.js-Blog entnommen werden.