Updates für Node.js 4, 6, 8 unr 9

Node.js: Sicherheitsupdates angekündigt
Keine Kommentare

Das Node.js-Team hat für den 27. März ein großes Updatepaket für die Versionen 4.x, 6.x, 8.x und 9.x angekündigt. Im Zentrum steht eine neue OpenSSL-Sicherheitslücke. Aber auch andere Schwachstellen sollen behoben werden. Was ist los bei Node?

OpenSSL wird am 27.3. Updates für die Versionen 1.0.2 und 1.1.0 veröffentlichen, die als moderat eingestufte Sicherheitslücken schließen. Als moderat problematisch eingestuft werden Bugs, die zu Abstürzen von Client Applications führen, aber auch Fehler in Protokollen, die seltener genutzt werden, wie DTLS. Das Release von Version 1.0.2o und 1.1.0 sind für den 27. März angekündigt worden.

OpenSSL-Sicherheitslücke

Möglichst kurz nach dem Release der OpenSSL-Versionen sollen auch die Updates für Node.js ausgeliefert werden. Diese sind für den 27.3. oder wenige Tage später vorgesehen. Die OpenSSL-Sichereitslücke betrifft Node.js 4.x, 6.x, 8.x und 9.x.

Für Node.js 4.x wird im Rahmen des nun angekündigten Updates außerdem eine Sicherheitslücke geschlossen, die Denial-of-Service-Attacken ermöglichen könnte. Der Schweregrad der Sicherheitslücke wird als hoch eingeschätzt, sodass allen Nutzern der betroffenen Version die Installation des Updates empfohlen wird.

Node.js 4.x: Support endet bald

In Bezug auf Node.js 4.x verweist die Ankündigung außerdem darauf, dass der Support für diesen Releasezweig am 30. April endet. Somit werden bereits jetzt nur noch wenige Updates für die Version ausgespielt. Das aktuell angekündigte Sicherheitsupdate könnte das letzte für diese Version sein. Ein Upgrade auf eine neuer Version wird empfohlen.

Das Security-Update, das für die kommende Woche angekündigt wurde, soll außerdem einen weiteren Bug beheben. Einer davon betrifft den HTTP Parser und tritt in allen Versionen von Node.js auf. Durch den Fehler können falsch gestaltete HTTP Requests fehlinterpretiert werden. Eine konkrete Anwendungsmöglichkeit zum Angriff auf Server sei nicht bekannt, so die Ankündigung des Updates, darum werde die Sicherheitslücke als wenig gefährlich eingestuft.

Neue Root Certificates

Außerdem werden mit dem Update die Root Certificates aktualisiert, die mit dem Node.js Binary ausgeliefert werden. 30 Zertifikate werden zum Update entfernt, einige neue hinzugefügt. Auf GitHub kann nachgelesen werden, welche Zertifikate betroffen sind.

Alle Informationen zum geplanten Sicherheitsupdate gibt es in der Ankündigung der Security Releases von Rod Vagg im Node.js-Blog. Dort sollen in der kommenden Woche auch Informationen dazu veröffentlicht werden, in welchem Ausmaß die Sicherheitslücke von OpenSSL für Node.js relevant ist. Details zu den jeweils aufgetretenen Problemen bei OpenSSL werden immer erst nach dem Release der aktualisierten Version bekannt gegeben, sodass eine genauere Einschätzung seitens des Node.js-Teams noch nicht erfolgen kann.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
400
  Subscribe  
Benachrichtige mich zu:
X
- Gib Deinen Standort ein -
- or -