Neue Node-Versionen bringen Fixes für OpenSSL-Schwachstellen mit

Node.js: Security-Fixes für alle aktiven Versionen verfügbar
Kommentare

Wie am Montag bereits angekündigt, sind mit Node v0.10.47 (Maintenance), v0.12.16 (Maintenance), v4.6.0 (LTS) und v6.7.0 (Current) Updates für alle aktiven Node.js-Versionen erschienen. Im Vordergrund der Updates stehen vor allem wichtige Security-Fixes, die unter anderem Fixes für die in OpenSSL gefundenen Schwachstellen mit sich bringen.

Daneben beheben die Updates auch einige Node.js-spezifische Sicherheitsprobleme in der JavaScript-Runtime-Plattform. Im Node.js-Blog gibt Rod Vagg einen Überblick über die Änderungen in den vier neuen Node-Versionen.

Neue Node.js-Versionen beheben OpenSSL-Schwachstellen

Bereits Ende letzter Woche wurde ein OpenSSL Security Advisory veröffentlicht, in dem gleich 14 in OpenSSL gefundene Schwachstellen bekanntgegeben wurden. Einige dieser Sicherheitslücken betreffen auch User von Node.js; die neuen Node-Versionen bringen darum insbesondere das Update von OpenSSL auf Version 1.0.1 beziehungsweise 1.0.2 mit sich. Zu den geschlossenen OpenSSL-Schwachstellen in den neuen Node-Versionen zählen etwa:

  • CVE-2016-6304: „OSCP Status Request extension unbounded memory growth“
  • CVE-2016-2183: „SWEET32 Mitigation“
  • CVE-2016-6303: „OOB write in MDC2_Update()“
  • CVE-2016-2178: „Constant time flag not preserved in DSA signing“
  • CVE-2016-6306: „Certificate message OOB reads“

Mehr Informationen zu den einzelnen Schwachstellen bietet der oben genannte Blogpost im Node.js-Blog.

API Summit 2017

Moderne Web APIs mit Node.js – volle Power im Backend

mit Manuel Rauber (Thinktecture), Sven Kölpin (Open Knowledge)

API First mit Swagger & Co.

mit Thilo Frotscher (Freiberufler)

Node.js-spezifische Security-Fixes

Neben den OpenSSL-Releases bringen die neuen Node-Versionen noch einige Security-Fixes für mehrere Schwachstellen in der JavaScript-Runtime-Plattform mit. Behoben wird etwa Schwachstelle CVE-2016-7099 – eine als „High Severity“ eingestufte Sicherheitslücke, die es einem böswilligen TLS-Server ermöglicht, ein ungültiges Wildcard-Zertifikat für seinen Hostname auszugeben.

Ebenso wird mit den Updates Schwachstelle CVE-2016-5325 geschlossen. Dieses Low-Severity-Security-Problem erlaubt unter bestimmten Umständen HTTP-Response-Splitting: Wird User-Input an das reason-Argument an writeHead() übergeben, könnte ein New-Line-Charakter genutzt werden, um zusätzliche Antworten zu injizieren. Beide Schwachstellen betreffen alle aktuellen Node-Versionen.

Die letzte Schwachstelle betrifft dagegen nur Node.js v6, v4 und v.0.12. Wird die Funktion ENGINE_load_bultin_engines() genutzt, lädt OpenSSL automatisch eine Liste von Third-Party-Engine-Modulen, die normalerweise nicht auf dem System des Users vorhanden sind. Angreifer können Node.js dann dazu veranlassen, schädlichen Code zu laden, wenn dieser sich als eines der dynamischen Engine-Module ausgibt.

Mehr Informationen zu den einzelnen Schwachstellen bietet der oben genannte Blogpost; Einzelheiten zu den neuen Node.js-Versionen halten die jeweiligen Changelogs bereit:

Die Updates stehen dort auch jeweils zum Download zur Verfügung. User von v0.10.x sollten beachten, dass Node.js v0.10.47 vermutlich das letzte Release diese Release-Zweigs ist, da dessen Support im Oktober eingestellt wird.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -