Das Node.js-Team meldete letzte Woche bei Node.js 0.12.x, 4.x und 5.x eine kritische Denial-of-Service-Verwundbarkeit. Zudem gab es in der V8-Implementierung von JSON.stingify() einen Out-of-Bounds-Zugriffsfehler, der aber ein recht geringes Risiko bei serverseitigem JavaScript darstellt. Von der zweiten Schwachstelle waren ausschließlich die Versionen 4.x und 5.x betroffen.

Das Team wollte ursprünglich bereits Mitte dieser Woche ein Sicherheits-Update veröffentlichen, hat aber aufgrund eines ebenfalls geplanten OpenSSL-Patches den Termin verschoben. Die dort behobenen Sicherheitsprobleme betrafen alle Node.js-Releases inklusive 0.10.x, das von den anderen Problemen unberührt war, und wurden als mittelschwer eingestuft.

Folgende Node.js-Versionen hat das Team nun als Updates veröffentlicht: v0.10.41, v0,12.9, v4.2.3 "Argon" und v5.1.1, wobei es sich bei den mittleren beiden um LTS-Varianten (Long Term Support) handelt.

(mt, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE