Die Entwickler der Javascript-Laufzeitumgebung Node.js haben mit einem Update einige sicherheitsrelevante Lücken geschlossen. Darunter sind Sicherheitslücken, welche die Ausweitung von Rechten und das Ausführen von Schadcode ermöglichen. Zudem können Node.js-basierte Dienste zum Absturz gebracht werden.

Eine der gefährlichsten Sicherheitslücken (CVE-2024-21892) erlaubt es Angreifern eigenen Code in den Node.js-Prozess einzuschleußen und damit auszuführen. Die Lücke wurde mit dem Bedrohungsgrad hoch eingestuft. Eine weitere Lücke (CVE-2024-22019) ermöglicht es mithilfe von präparierten HTTPS-Paketen eine Netzwerküberlastung zu erzeugen und so den Dienst abstürzen zu lassen (DoS, Denial-of-Service).

(jl, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE