Sicherheitslücke in Nutzerdatenbank des Node.JS-Paketmanagers npm behoben
Kommentare

Nutzer von npm, dem Paketmanager von Node.js, müssen ihre Passwörter zurücksetzen. Die in CouchDB abgelegten Nutzerdaten waren dank der Default-Einstellungen der Datenbank für jedermann auszulesen.

Nutzer von npm, dem Paketmanager von Node.js, müssen ihre Passwörter zurücksetzen. Die in CouchDB abgelegten Nutzerdaten waren dank der Default-Einstellungen der Datenbank für jedermann auszulesen. Somit standen die SHA-Hashes sowie die Salts sämtlicher Passwörter quasi zum Download bereit – und das schon seit einiger Zeit.

Das Problem soll nun mit dem Update auf CouchDB 1.2 behoben worden sein – und zwar zwei Tage vor der Bekanntgabe der Sicherheitslücke.

Da die neue Datenbank mit den Daten der alten gefüttert wurde, können alle Nutzer theoretisch bei ihrem bisherigen Passwort bleiben. Falls jedoch die Hashes tatsächlich an einen unliebsamen Dritten gelangt sind, könnte derjenige simple Passwörter relativ schnell knacken und sich so Zugriff verschaffen.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -