Node.js: Security-Updates im August

Node.js 10.9.0, v8.11.4 (LTS) und v6.14.4 (LTS) erschienen: Security-Updates im August
Keine Kommentare

Gleich drei neue Node.js-Versionen sind erschienen: Node v10.9.0, v8.11.4 (LTS) und v6.14.4 (LTS) stehen zur Installation bereit. Neben den Sicherheitsupdates bringt Node.js 10.9.0 auch ein paar weitere Neuerungen mit.

Die Security-Welt steht nicht still und das Node-Team ist bekanntlich schnell darin, ihre aktuell gepflegten Releasezweige in dieser Hinsicht auf dem neusten Stand zu halten. Auch diesen Monat gab es darum wieder eine Security-Release-Runde bei Node, die Updates für beide LTS- und den aktuellen Relesaezweig mitbringt. Node.js 10.9.0, v8.11.4 (LTS) und v6.14.4 (LTS) wurden veröffentlicht.

Node.js 10.9.0, 8.11.4 (LTS) und v6.14.4 (LTS): Security-Updates

Die neuen Node-Versionen schließen verschiedene Sicherheitslücken. In OpenSSL 1.1.0 und 1.0.2 waren zuvor Probleme bekannt geworden, die dort mit entsprechenden Updates geschlossen worden sind. OpenSSL 1.1.0i und 1.0.2p wurden entsprechend in die nun veröffentlichten Node-Updates integriert. Eine Sicherheitslücke, die im Rahmen der TSL-Kommunikation auftrat, machte DoS-Angriffe auf den Client möglich. Außerdem war in vorherigen Versionen von OpenSSL das Ausspähen von privaten DSA- und ECDSA-Schlüsseln möglich, wenn der Angreifer Zugang zum Cache-Timing hatte.

In Node 10 wurde außerdem eine Schwachstelle in Buffer.alloc() gefunden, die dazu führte, dass uninitialisierter Speicher zurückgegeben wurde. In bestimmten Fällen konnten so sensible Nutzerdaten mit übergeben werden. Auch diese Sicherheitslücke wurde mit den August-Updates von Node.js jedoch geschlossen. Alle drei nun aktualisierten Releasezweige sind außerdem von einer anderen Sicherheitslücke betroffen gewesen, die ebenfalls in Buffer aufgetreten ist. Memory konnte außerhalb des zugewiesenen Raums gespeichert werden und Node so zum Absturz bringen. Alle Informationen zu den aktuellen Security-Releases sind im Node-Blog zu finden.

Neues für Node 10.9.0

Node.js 10.9.0 enthält außerdem einige weitere Updates, wie den Release Notes zur Version zu entnehmen ist. So wurde ein Upgrade auf V8 Version 6.8 vorgenommen, das die Performance verbessern soll. Außerdem erlauben http.get() und http.request() nun drei Argumente, sodass die Objekte URL und options beide übergeben werden können. Alle weiteren Informationen zum Release können dem Node.js-Blog entnommen werden.

Unsere Redaktion empfiehlt:

Relevante Beiträge

X
- Gib Deinen Standort ein -
- or -