Aus Sicherheitsgründen sollten Entwickler, die JavaScript mit Node.js testen, die Laufzeitumgebung auf den aktuellen Stand bringen. Es wurden in den aktuellen Versionen vier Lücken geschlossen.

Die Schwachstelle (CVE-2021-27290, „hoch") in der Komponente "npm upgrade" gilt am gefährlichsten. Angreifer könnten auf einem nicht näher beschriebenen Weg eine DoS-Attacke ausführen und die Laufzeitumgebung stilllegen.

Mit dem Bedrohungsgrad „mittel“ sind die weiteren Lücken (CVE-2021-22918, CVE-2021-22921, CVE-2021-273362) eingestuft. Über diese könnten Angreifer nach erfolgreichen Attacken weitere DoS-Zustände provozieren oder sich höhere Nutzerrechte aneignen.

In einer Warnmeldung listen die Entwickler die verwundbaren Versionen auf. Abgesichert gegen diese Attacken sollen die Node.js-Ausgaben v12.22.2 (LTS), v14.17.2 (LTS) und v16.4.1 (LTS) sein.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE