Serverseitiges JavaScript: Zwei offene Lücken in Node.js
Eine DoS-Schwachstelle und einen Out-of-Bounds-Zugriffsfehler bei der JavaScript-Engine V8 sind in unterschiedlichen Node.js-Versionen zu finden. Ein Patch soll nächste Woche veröffentlicht werden.
- Alexander Neumann
Etliche aktuelle Releases des serverseitigen JavaScript-Frameworks Node.js weisen ernst zu nehmende Sicherheitslücken auf. Dies hat die hinter der Node.js-Entwicklung stehende Stiftung bekannt gegeben. Es handelt sich einerseits um eine als sehr kritisch eingestufte Schwachstelle, die eine DoS-Attacke (Denial of Service) nach sich ziehen könnte, und andererseits um eine wohl weniger schlimme Lücke beim Out-of-Bounds-Zugriff der von Google entwickelten JavaScript-Engine V8. Die DoS-Lücke ist schon offiziell in der CVE-Datenbank (Common Vulnerabilities and Exposures) unter der Nummer 2015-8027 reserviert, das Zugangsproblem als CVE-2015-6764.
Von der DoS-Lücke sind alle Releases von Version 0.12 bis zum neuen Node.js 5.x betroffen. Das V8-Zugangsproblem ist nur bei den Versionen 4.x und 5.x zu finden. Angreifer können dadurch einen Out-of-Bounds-Zugriff und/oder einen Denial of Service auslösen, wenn die Node.js-Anwendung die Ausführung von JavaScript-Nutzer-Code erlaubt.
Zur Behebung der Lücken ist nächste Woche ein Update vorgesehen. Entwicklern und Administratoren wird empfohlen, ihre Node.js-Anwendungen auf die Patches vorzubereiten. Laut Mikael Rogers, Community-Verantwortlicher der Node.js Foundation, sind die Sicherheitslücken bislang nicht ausgenutzt worden. (ane)
