Serverseitiges JavaScript: Node.js-Patch nun verfügbar
Das Update adressiert die letzte Woche gemeldete DoS-Schwachstelle und den Zugriffsfehler bei der JavaScript-Engine V8. Gleichzeitig umfasst es die ebenfalls diese Woche aktualisierten OpenSSL-Bibliotheken.
- Rainald Menge-Sonnentag
Letzte Woche meldete das Node.js-Team eine kritische Denial-of-Service-Verwundbarkeit bei Node.js 0.12.x, 4.x und 5.x. Darüber hinaus gab es einen Out-of-Bounds-Zugriffsfehler in der V8-Implementierung von JSON.stringify(), der aber bei serverseitigem JavaScript ein recht geringes Risiko darstellt. Die zweite Schwachstelle betraf ausschließlich die Versionen 4.x und 5.x.
Ursprünglich wollte das Team bereits Mitte dieser Woche ein Sicherheits-Update veröffentlichen, hat den Termin aber aufgrund eines ebenfalls geplanten OpenSSL-Patches verschoben. Die dort behobenen Sicherheitsprobleme wurden als mittelschwer eingestuft und betrafen alle Node.js-Releases inklusive 0.10.x, das von den anderen Problemen unberührt war. Die OpenSSL-Bibliotheken sind statisch in Node.js eingebunden.
Nun hat das Team als Updates folgende Node.js-Versionen veröffentlicht: v0.10.41, v0,12.9, v4.2.3 "Argon" und v5.1.1. Bei den mittleren beiden handelt es sich um LTS-Varianten (Long Term Support). Die neuen Releases sollen die benannten Probleme von Node.js und OpenSSL beheben. (rme)
