Node.js 0.6.17 beseitigt Sicherheitslücke

08.05.2012 14:20 Uhr Alexander Neumann

Durch einen Fehler in der HTTP-Implementierung des Frameworks können Angreifer anscheinend mit manipulierten HTTP-Headern fremde Anfragen ändern. Von der Lücke sind die 0.5.x-, 0.6.x und 0.7.x-Entwicklungszweige betroffen.

Die Node.js [1]-Entwickler empfehlen [2] allen Nutzern des JavaScript-Frameworks, ihre Anwendungen so schnell wie möglich auf die neue Version 0.6.17 [3] zu aktualisieren. Dieses Release schließt eine Sicherheitslücke in der HTTP-Implementierung des Frameworks, die ein Angreifer ausnutzen kann, um an nicht öffentliche Informationen heranzukommen. Durch den Fehler können Angreifer anscheinend mit korrumpierten HTTP-Headern fremde Anfragen ändern.

Von der Lücke sind alle Versionen der 0.5.x- und 0.6.x-Entwicklungszweige bis zu Node.js 0.6.16 betroffen. Die bislang als experimentell eingestuften Versionen 0.7.0 bis 0.7.7 sind ebenfalls verwundbar. Hier beseitigt Node.js 0.7.8 das Problem. Denjenigen, denen es nicht möglich ist, rasch ihre Anwendung zu aktualisieren, haben die Entwickler einen Fix [4] bereitgestellt. Die Entwickler weisen darüber hinaus darauf hin, dass die Version 0.6.17 auch andere Fehler wie ein Datei-Handle-Leck bei den Sync-Funktionen beseitigt.

Node.js ist ein eventbasiertes, nicht blockendes I/O-Framework, mit dem man JavaScript-Programme entwickeln kann, die sowohl auf dem Client als auch auf dem Server vollständig asynchron laufen und mit Events kommunizieren. (ane [5])

URL dieses Artikels:
https://www.heise.de/-1570436

Links in diesem Artikel:
[1] http://nodejs.org/
[2] http://blog.nodejs.org/2012/05/07/http-server-security-vulnerability-please-upgrade-to-0-6-17/
[3] http://blog.nodejs.org/2012/05/04/version-0-6-17-stable/
[4] https://github.com/joyent/node/commit/c9a231d
[5] mailto:ane@heise.de