Updates beheben npm-Schwachstellen und bringen weitere Bug-Fixes

Node.js-Updates für alle Versionen verfügbar
Kommentare

Vergangene Woche wurde eine kritische Schwachstelle in npm entdeckt, für die nun entsprechende Security-Fixes bereitstehen. Im Zuge dessen gab es auch für Node.js Updates für alle Versionen – und für Node v0.12.x damit auch das letzte aktive LTS-Release für diesen Release-Zweig.

Im Vordergrund stehen allerdings die wichtigen Security-Fixes für npm; zudem bringen Node v0.10.44, v.0.12.13, v4.4.2 und v5.10.0 auch eine Reihe von Bug-Fixes mit sich.

Security-Fixes für npm und Node.js

Bereits seit 2014 nutzt die Haupt-npm-Registry HTTP-Bearer-Tokens für die Authentifizierung von Requests vom npm-Command-Line-Interface. Diese Bearer-Token wurden für eingeloggte User mit jedem Request des CLIs gesendet – und zwar unabhängig vom Ziel des Requests. Allerdings sollten sie nur für Requests gegenüber der Registry der aktuellen Installation gesendet werden; ein Design-Flaw, der nun für eine kritische Schwachstelle im Node-Package-Manager sorgte.

So ermöglicht die Sicherheitslücke Angreifern das Einrichten eines HTTP-Servers, der Authentifizierungsinformationen sammelt, die die Angreifer anschließend zur Imitation der User nutzen können. Damit könnten sie alle Aufgaben des komprimierten User übernehmen, inklusive der Veröffentlichung neuer Paketversionen.

Mit den kürzlich veröffentlichten npm-Versionen 2.15.1 und 3.8.3 wurde die Schwachstelle behoben; User, die glauben, dass ihr Bearer Token von dem Leak betroffen ist, sollten die aktuellen Tokens unwirksam machen und mithilfe eines Reruns des npm-Logins neue Token generieren. Mehr Informationen dazu bietet ein entsprechender Blogpost im npm-Blog.

Go for PHP Developers

mit Terrence Ryan (google)

Everything you need to know about PHP 7.2

mit Sebastian Bergmann (thePHP.cc)

Updates für Node.js

Da Node.js mit npm ausgeliefert wird, wurden auch für die aktuellen Node-Versionen entsprechende Updates herausgegeben. Diese umfassen sowohl den wichtigen Security-Fix als auch mehrere Bug-Fixes. So erhalten Node v0.10.44, Node v0.12.12 und Node 4.4.2 jeweils die neue npm-Version npm LTS 2.15.1; Node v5.10.0 erhält die aktuelle npm-Version v3.8.3.

Darüber hinaus bringen die Updates auch einige Bug-Fixes und kleinere Verbesserungen für die aktuellen LTS- und Stable-Versionen der JavaScript-Runtime-Plattform mit sich. Sie sind in den jeweiligen Changelogs nochmal übersichtlich zusammengefasst:

Dort stehen die neuen Versionen auch jeweils zur Installation bereit.

Node v0.12.13 letztes aktives LTS-Release des Release-Zweigs

Mit Node v0.12.13 ist das letzte aktive LTS-Release des 0.12.x-Release-Zweigs erschienen. Ab dem nächsten Release gilt dieser als Maintenance-Release-Zweig, dementsprechend ändern sich auch die Anforderungen an die Art von Änderung, die für 0.12.x-Releases akzeptiert werden. So erhält Node v0.12.x künftig nur noch kritische Security- und Stabilitäts-Fixes; Usern wird darum empfohlen, so bald wie möglich auf die aktuelle LTS-Version Node v4.4.x umzusteigen.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -