Node.js-Updates für alle Versionen verfügbar

Im Vordergrund stehen allerdings die wichtigen Security-Fixes für npm; zudem bringen Node v0.10.44, v.0.12.13, v4.4.2 und v5.10.0 auch eine Reihe von Bug-Fixes mit sich.

Security-Fixes für npm und Node.js

Bereits seit 2014 nutzt die Haupt-npm-Registry HTTP-Bearer-Tokens für die Authentifizierung von Requests vom npm-Command-Line-Interface. Diese Bearer-Token wurden für eingeloggte User mit jedem Request des CLIs gesendet – und zwar unabhängig vom Ziel des Requests. Allerdings sollten sie nur für Requests gegenüber der Registry der aktuellen Installation gesendet werden; ein Design-Flaw, der nun für eine kritische Schwachstelle im Node-Package-Manager sorgte.

So ermöglicht die Sicherheitslücke Angreifern das Einrichten eines HTTP-Servers, der Authentifizierungsinformationen sammelt, die die Angreifer anschließend zur Imitation der User nutzen können. Damit könnten sie alle Aufgaben des komprimierten User übernehmen, inklusive der Veröffentlichung neuer Paketversionen.

Mit den kürzlich veröffentlichten npm-Versionen 2.15.1 und 3.8.3 wurde die Schwachstelle behoben; User, die glauben, dass ihr Bearer Token von dem Leak betroffen ist, sollten die aktuellen Tokens unwirksam machen und mithilfe eines Reruns des npm-Logins neue Token generieren. Mehr Informationen dazu bietet ein entsprechender Blogpost im npm-Blog.

Frameworkless – the new black?

by Carsten Windler (KW-Commerce GmbH)

Getting started with PHP-FFI

by Thomas Bley (Bringmeister GmbH)

JSON-Schema von 0 auf 100

by Ingo Walther (Electronic Minds GmbH)

Von der Cloud über DevSecOps bis hin zu Datenschutzproblem von WhatsApp

Christian Schneider spricht im Interview über aktuelle Security-Trends. Welche Themen rücken besonders heute stark in den Security-Fokus, warum alles rund um die Cloud immer mehr an Bedeutung gewinnt, welche Aspekte in der Cyberabwehr effektiv sind u.v.m.

IT-Security Experte, Christian Schneider

Christian ist als freiberuflicher White Hat Hacker, Trainer und Security-Coach tätig. Als Softwareentwickler mit mittlerweile 20 Jahren Erfahrung, fand er 2005 seinen Themenschwerpunkt im Bereich IT-Security.

Updates für Node.js

Da Node.js mit npm ausgeliefert wird, wurden auch für die aktuellen Node-Versionen entsprechende Updates herausgegeben. Diese umfassen sowohl den wichtigen Security-Fix als auch mehrere Bug-Fixes. So erhalten Node v0.10.44, Node v0.12.12 und Node 4.4.2 jeweils die neue npm-Version npm LTS 2.15.1; Node v5.10.0 erhält die aktuelle npm-Version v3.8.3.

Darüber hinaus bringen die Updates auch einige Bug-Fixes und kleinere Verbesserungen für die aktuellen LTS- und Stable-Versionen der JavaScript-Runtime-Plattform mit sich. Sie sind in den jeweiligen Changelogs nochmal übersichtlich zusammengefasst:

Dort stehen die neuen Versionen auch jeweils zur Installation bereit.

Node v0.12.13 letztes aktives LTS-Release des Release-Zweigs

Mit Node v0.12.13 ist das letzte aktive LTS-Release des 0.12.x-Release-Zweigs erschienen. Ab dem nächsten Release gilt dieser als Maintenance-Release-Zweig, dementsprechend ändern sich auch die Anforderungen an die Art von Änderung, die für 0.12.x-Releases akzeptiert werden. So erhält Node v0.12.x künftig nur noch kritische Security- und Stabilitäts-Fixes; Usern wird darum empfohlen, so bald wie möglich auf die aktuelle LTS-Version Node v4.4.x umzusteigen.