Node v0.10.39 und 0.12.5 sind erschienen

Upgrade von OpenSSL bringt wichtige Security-Fixes für Node.js mit sich

Mit Node v0.10.39 und v0.12.5 sind sowohl für die aktuelle Stable-, als auch die aktuelle Maintenance-Version der Plattform Updates erschienen, die insbesondere das Upgrade von OpenSSL zu Version 1.0.1 mit sich bringen. Damit soll vor allem für Fixes von mehreren kritischen Schwachstellen gesorgt werden, die auch Node.js betreffen.

Darüber hinaus bringt Node v0.12.5 auch einige weitere Bug-Fixes sowie Upgrades von npm zu Version 2.11.2 und uv zu Version 1.6.1 mit sich.

Neue Node-Versionen sorgen für Upgrade von OpenSSL

Im Vordergrund der beiden neuen Versionen steht das Upgrade von OpenSSL zu Version 1.0.1, das Fixes für mehrere Schwachstellen mit sich bringt, von denen zwei auch Node.js direkt betreffen. Dabei handelt es sich einerseits um eine Schwachstelle bei Logjam. Hierfür hat OpenSSL einen besseren Schutz für TLS-Clients hinzugefügt, indem Handshakes mit DH-Parametern, die kürzer als 768 Bits sind, zurückgewiesen werden.

Andererseits behebt das Upgrade von OpenSSL die Schwachstelle CVE-2015-1788, die mit Node.js geschriebene Programme für Denial-of-Service-Angriffe anfällig machte. Mehr Informationen dazu sowie zu den anderen vorgenommenen Änderungen in Version 0.12.5 und 0.10.39 finden sich in den entsprechenden Changelogs im Node.js-Blog:

Dort stehen auch beide Updates jeweils zur Installation bereit.