Die hinter der Node.js-Entwicklung stehende Stiftung hat bekannt gegeben, dass etliche aktuelle Releases des serverseitigen JavaScript-Frameworks Node.js ernst zu nehmende Sicherheitslücken aufweisen.

Einerseits handelt es sich um eine als sehr kritisch eingestufte, möglicherweise eine DoS-Attacke (Denial of Service) nach sich ziehende, Schwachstelle, und andererseits beim Out-of-Bounds-Zugriff der von Google entwickelten JavaScript-Engine V8 um eine wohl weniger schlimme Lücke. In der CVE-Datenbank (Common Vulnerabilities and Exposures) ist die DoS-Lücke unter der Nummer 2015-8027 reserviert und das Zugangsproblem als CVE-2015-6764.

Alle Releases von Version 0.12 bis zum neuen Node.js 5.x sind von der DoS-Lücke betroffen, während das V8-Zugangsproblem nur bei den Versionen 4.x und 5.x zu finden ist. Wenn die Node.js-Anwendung die Ausführung von JavaScript-Nutzer-Code erlaubt, können Angreifer dadurch einen Denial of Service und/oder einen Out-of-Bounds-Zugriff auslösen.

Ein Update zur Behebung der Lücken ist nächste Woche vorgesehen. Die Sicherheitslücken sind laut Mikael Rogers, Community-Verantwortlicher der Node.js Foundation, bislang nicht ausgenutzt worden. Administratoren und Entwicklern wird dennoch empfohlen, ihre Node.js-Anwendungen auf die Patches vorzubereiten.

(mt, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE