Das Node.js Update beinhaltet den aktualisierten Paketmanager npm mit der Version 6.13.4, welcher eine kürzlich entdeckte Sicherheitsschwachstelle schließt. Diese entstand, da das Überschreiben von Dateien durch das Definieren von Binärdateien mittels package.json möglich war.

Anfällig für dieses Binary Planting, bzw. Arbitrary File Overwriting waren neben npm auch yarn und pnpm. Auf diese Weise war es Angreifern möglich, schädlichen Code zu platzieren und ausführen zu lassen. Die Node.js Foundation reagiert mit Security Updates auf diese Problematik, welche alle Release-Zweige betreffen.

Wie das npm-Team mitteilt, wurde die Registry auf mögliche Attacken gescannt. Obwohl keine Gefährdungen festgestellt werden konnten, bestehe jedoch keine Garantie darauf, dass es keine Dateien gibt oder gab, die den Schwachpunkt ausgenutzt haben. Dies ist dem Umstand geschuldet, dass z. B. private Registries oder Git Repositories nicht gescannt werden können. Es wird daher sowohl von Seiten der Node.js Foundation als auch von npm dringend empfohlen, das Update zu installieren.

Mit npm v6.13.4 wird u. a. die package.jason Parsing Library aktualisiert. Updates für yarn (Version 1.21.1) und pnpm (Version 4.5.0) sind ebenfalls verfügbar.

Alle Informationen und Download-Möglichkeiten zu dem neuen Security Update sind auf den offiziellen Webseiten von Node.js, bzw. npm zu finden.