Node.js v0.10.41, v0.12.9, v4.2.3 und 5.1.1 beheben mehrere Schwachstellen in Node und OpenSSL

Security-Fixes für alle Node.js-Versionen stehen zur Verfügung
Kommentare

Bereits letzte Woche waren in der JavaScript-Runtime-Plattform Node.js gleich mehrere Schwachstellen gefunden worden, für die nun die ankündigten Security-Fixes erschienen sind. Dementsprechend gab es mit Node v0.10.41, v0.12.9, v4.2.3 und v5.1.1 für alle Release-Zweige der Plattform je eine neue Version.

Behoben werden damit auch einige in OpenSSL aufgetretene Schwachstellen, die zunächst dafür gesorgt hatten, dass der Release der neuen Node-Versionen um zwei Tage verschoben wurde, damit die entsprechenden Security-Fixes ebenfalls implementiert werden konnten. Rod Vagg hat im Node-Blog alle Informationen rund um die Node-Dezember-Security-Releases zusammengefasst.

Die Schwachstellen in Node im Überblick

Gleich mehrere Schwachstellen wurden vergangene Woche in Node.js gefunden, die insbesondere auch die aktuellen LTS-Release-Zweige v0.12.x und v4.2.x betrafen. Dazu zählten:

CVE-2015-8027: Denial-of-Service-Schwachstelle

Betroffen von der als kritisch eingestuften Denial-of-Service-Schwachstelle sind alle Node-Version ab Node v0.12.x. Dabei kann es unter bestimmten Bedingungen vorkommen, dass ein HTTP-Socket nicht länger über einen damit verbundenen Parser verfügt, Requests aber trotzdem auf den entsprechenden Parser zugreifen wollen und so eine uncaughtException ausgeben. Angreifer können solche Bedingung extern erzeugen und so dafür sorgen, dass ein Node.js-Service beendet wird. Das Update auf eine der neuen Versionen – Node v0.12.9 (LTS), v4.2.3 (LTS) oder v5.1.1 (Stable) – behebt das Problem.

CVE-2015-6764: V8 Out-of-Bounds-Zugriffs-Schwachstelle

Die zweite in Node gefundene Schwachstelle betrifft die Versionen ab Node v4.x. Dabei wurde in der Implementierung von JSON.stringify() in der V8-Engine ein Bug gefunden, der Out-of-Bounds-Lesezugriffe auf Arrays ermöglicht. Zwar ist dieser Bug in erster Linie für Browser kritisch, allerdings sind auch User gefährdet, die Third-Party-JavaScript in ihrer Node-Applikation ausführen. Ihnen wird darum das Update auf eine der neuen Versionen empfohlen.

Stellen Sie Ihre Fragen zu diesen oder anderen Themen unseren entwickler.de-Lesern oder beantworten Sie Fragen der anderen Leser.

OpenSSL-Schwachstellen betreffen auch Node-Versionen

Neben den direkt in Node gefundenen Schwachstellen beheben die neuen Plattform-Versionen auch zwei in OpenSSL aufgetretene Sicherheitslücken, nämlich die als CVE-2015-3193 und CVE-2015-3194 benannten folgenden Probleme:

CVE-2015-3193

In OpenSSL v1.0.2 sorgte ein Bug in der Montgmomery-Squaring-Prozedur in der x64-Architektur dafür, dass mögliche Angriffs-Vektoren offenbart wurden, die für RSA- oder DSA-Angriffe sorgen können. Auch Angriffe auf DHE-Key-Exchanges sind möglich. Die entsprechende OpenSSL-Version wird sowohl in Node.js v4.x als auch v5.x genutzt; User sollten darum das Update auf die neuen Node-Versionen so bald wie möglich durchführen.

CVE-2015-3194

Die zweite OpenSSL-Schwachstelle betrifft die OpenSSL-Versionen v1.0.1 und v1.0.2. Sie kann für einen Crash während des Zertifikats-Verifizierungs-Prozesses sorgen, wenn diesem eine falsch formatierte ASN.1-Signatur, die den RSA-PSS-Algorithmus nutzt, weitergegeben wird. Node.js-TLS-Server können dadurch Ziel eines DoS-Angriffs werden; ebenso sind Node.js-TLS-Clients betroffen wenn ihnen falsch formatierte Zertifikate zur Verifizierung weitergegeben werden. Betroffen von der Schwachstelle sind alle Node-Versionen ab v0.10.x; das Update zu den neuen Versionen wird darum allen Usern von TLS-Clients oder -Servern darum dringend empfohlen.


Mehr Informationen zu den neuen Versionen findet sich in den jeweiligen Changelogs im Node-Blog:

Dort stehen die einzelnen Updates auch zum Download zur Verfügung.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -