In der JavaScript-Laufzeitumgebung node.js wurden mehrere Sicherheitslücken entdeckt, über die Angreifer etwa Schadcode aus der Ferne einschmuggeln könnten. Die Entwickler haben daher zum Wochenende fehlerbereinigte Versionen veröffentlicht. Entwickler und Administratoren betroffener Webanwendungen sollten dieses Update installieren.

Auf der Umgehung von Fehlerkorrekturen für ein Sicherheitsproblem, das bereits vergangenes Jahr behoben wurde (CVE-2021-22884), beruht die Schwachstelle mit dem höchsten Schweregrad. Laut Google beruht die Hälfte der in der ersten Jahreshälfte 2022 missbrauchten Zero-Day-Lücken darauf. Angreifer können die Überprüfung auf IsAllowedHost umgehen, da die Funktion IsIPAddress nicht korrekt prüft, ob eine Adresse gültig ist oder nicht.

node.js könnte sich weiterhin in Windows manipulierte Bibliotheken unterschieben lassen. Die Voraussetzung dafür ist ein installiertes OpenSSL und eine bestimmte Konfigurationsdatei. node.exe sucht in diesem Fall nach providers.dll im DLL-Suchpfad von Windows und würde eine von Angreifern in diesen Pfaden hinterlegte Bibliothek einbinden (CVE-2022-32223, noch kein CVSS-Score, hoch). Von dieser Lücke ist der 18er-Zweig von node.js nicht betroffen.

Die Entwickler von node.js stufen die weiteren Schwachstellen in ihrem Blog-Beitrag als mittleres Risiko ein (CVE-2022-32213, CVE-2022-32214, CVE-2022-32215, CVE-2022-32222 und CVE-2022-2097). Das Projekt schließt mit den neuen Versionen node.js 18.5.0, 16.16.0 (LTS) und 14.20.0 (LTS) diese Sicherheitslücken.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE