Neue Node-Versionen bringen Fixes für OpenSSL-Schwachstellen mit

Node.js: Security-Fixes für alle aktiven Versionen verfügbar
Kommentare

Wie am Montag bereits angekündigt, sind mit Node v0.10.47 (Maintenance), v0.12.16 (Maintenance), v4.6.0 (LTS) und v6.7.0 (Current) Updates für alle aktiven Node.js-Versionen erschienen. Im Vordergrund der Updates stehen vor allem wichtige Security-Fixes, die unter anderem Fixes für die in OpenSSL gefundenen Schwachstellen mit sich bringen.

Daneben beheben die Updates auch einige Node.js-spezifische Sicherheitsprobleme in der JavaScript-Runtime-Plattform. Im Node.js-Blog gibt Rod Vagg einen Überblick über die Änderungen in den vier neuen Node-Versionen.

Neue Node.js-Versionen beheben OpenSSL-Schwachstellen

Bereits Ende letzter Woche wurde ein OpenSSL Security Advisory veröffentlicht, in dem gleich 14 in OpenSSL gefundene Schwachstellen bekanntgegeben wurden. Einige dieser Sicherheitslücken betreffen auch User von Node.js; die neuen Node-Versionen bringen darum insbesondere das Update von OpenSSL auf Version 1.0.1 beziehungsweise 1.0.2 mit sich. Zu den geschlossenen OpenSSL-Schwachstellen in den neuen Node-Versionen zählen etwa:

  • CVE-2016-6304: „OSCP Status Request extension unbounded memory growth“
  • CVE-2016-2183: „SWEET32 Mitigation“
  • CVE-2016-6303: „OOB write in MDC2_Update()“
  • CVE-2016-2178: „Constant time flag not preserved in DSA signing“
  • CVE-2016-6306: „Certificate message OOB reads“

Mehr Informationen zu den einzelnen Schwachstellen bietet der oben genannte Blogpost im Node.js-Blog.

Write solid JavaScript Code with TypeScript

mit Thomas Claudius Huber (Trivadis Services AG)

Unlock the Power of JavaScript Decorators

mit Nir Kaufman (500Tech)

JavaScript Days 2017

Architektur mit JavaScript

mit Golo Roden (the native web)

JavaScript Testing in der Praxis

mit Dominik Ehrenberg (crosscan) und Sebastian Springer (MaibornWolff)

Node.js-spezifische Security-Fixes

Neben den OpenSSL-Releases bringen die neuen Node-Versionen noch einige Security-Fixes für mehrere Schwachstellen in der JavaScript-Runtime-Plattform mit. Behoben wird etwa Schwachstelle CVE-2016-7099 – eine als „High Severity“ eingestufte Sicherheitslücke, die es einem böswilligen TLS-Server ermöglicht, ein ungültiges Wildcard-Zertifikat für seinen Hostname auszugeben.

Ebenso wird mit den Updates Schwachstelle CVE-2016-5325 geschlossen. Dieses Low-Severity-Security-Problem erlaubt unter bestimmten Umständen HTTP-Response-Splitting: Wird User-Input an das reason-Argument an writeHead() übergeben, könnte ein New-Line-Charakter genutzt werden, um zusätzliche Antworten zu injizieren. Beide Schwachstellen betreffen alle aktuellen Node-Versionen.

Die letzte Schwachstelle betrifft dagegen nur Node.js v6, v4 und v.0.12. Wird die Funktion ENGINE_load_bultin_engines() genutzt, lädt OpenSSL automatisch eine Liste von Third-Party-Engine-Modulen, die normalerweise nicht auf dem System des Users vorhanden sind. Angreifer können Node.js dann dazu veranlassen, schädlichen Code zu laden, wenn dieser sich als eines der dynamischen Engine-Module ausgibt.

Mehr Informationen zu den einzelnen Schwachstellen bietet der oben genannte Blogpost; Einzelheiten zu den neuen Node.js-Versionen halten die jeweiligen Changelogs bereit:

Die Updates stehen dort auch jeweils zum Download zur Verfügung. User von v0.10.x sollten beachten, dass Node.js v0.10.47 vermutlich das letzte Release diese Release-Zweigs ist, da dessen Support im Oktober eingestellt wird.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -