Patch-Updates sollen nächste Woche erscheinen

Schwachstellen in Node.js v0.12.x, v.4.x und v5.x gefunden
Kommentare

In der JavaScript-Runtime-Plattform Node.js sind gleich mehrere Schwachstellen gefunden wurden, die zum einen für einen Denial-of-Service-Angriff, zum anderen für einen V8-Out-of-Bounds-Zugriff sorgen können. Die entsprechenden Patch-Updates sollen nächste Woche erscheinen.

Rod Vagg hat die wichtigsten Informationen zu den gefundenen Schwachstellen im Node.js-Blog zusammengefasst; die vollständigen Details werden naturgemäß bis nach dem für den 2. Dezember geplanten Updates zurückgehalten.

Denial-of-Service-Schwachstelle in Node v.0.12.x, v4.x und v5.x

Die erste gefundene Schwachstelle, CVE-2015-8027, ermöglicht Angreifern einen Denial-of-Service-Angriff. Betroffen von der mit 7.5 im CVSS v3 Base Score als High-Impact-Schwachstelle eingestuften Sicherheitslücke sind sowohl die Node-LTS-Versionen 0.12.x und 4.x als auch die aktuelle Stable-Version Node v5.x. User dieser Versionen sollten sich darum bereits jetzt auf das Update zu den Patch-Releases vorbereiten.

V8-Out-of-Bounds-Access-Schwachstelle in Node v4.x und v5.x

Die zweite in Node.js gefundene Schwachstelle CVE-2015-6764 betrifft insbesondere die aktuelle Long-Term-Support-Version Node v4.x sowie die aktuelle Stable-Version v5.x. Sie ermöglicht es Angreifern, bei der JavaScript-Engine V8 einen Out-of-Bounds-Zugriff und/oder einen Denial-of-Service auszulösen, wenn vom User bereitgestellter JavaScript-Code von einer Applikation ausgeführt werden kann. Mit einem Base Score von 4.4 wurde die Schwachstelle als „Mittel“ eingestuft.


Das Node.js-Team empfiehlt den Nutzern der betroffenen Versionen, ihre Applikationen auf die kommenden Updates vorzubereiten. Diese sollen am 2. Dezember für die betroffenen Versionen zur Verfügung stehen.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -