Alert!

Sicherheitslücken in node.js ermöglichen Codeschmuggel

Neue Versionen der node.js-Laufzeitumgebung beheben sicherheitskritische Fehler mit hohem Risiko. Angreifer könnten Opfern dadurch Schadcode unterjubeln.

In Pocket speichern vorlesen Druckansicht 18 Kommentare lesen
Aufmacher node.js Sicherheitsupdate gegen RCE

(Bild: Shutterstock)

Lesezeit: 2 Min.
Von

Mehrere Sicherheitslücken in der JavaScript-Laufzeitumgebung node.js gefährden Anwender: Angreifer könnten in den älteren Versionen etwa Schadcode aus der Ferne einschmuggeln. Zum Wochenende haben die Entwickler fehlerbereinigte Versionen veröffentlicht. Das Update sollten Entwickler und Administratoren betroffener Webanwendungen rasch installieren.

Die Schwachstelle mit dem höchsten Schweregrad beruht auf der Umgehung von Fehlerkorrekturen für ein Sicherheitsproblem, das bereits vergangenes Jahr behoben wurde (CVE-2021-22884) – ein häufiger Fehler, laut Google beruht die Hälfte der in der ersten Jahreshälfte 2022 missbrauchten Zero-Day-Lücken darauf. Die Überprüfung auf IsAllowedHost können Angreifer umgehen, da die Funktion IsIPAddress nicht korrekt prüft, ob eine Adresse valide ist oder nicht.

Angreifer können durch Angabe ungültiger Werte (als Beispiel nennen die Entwickler 10.0.2.555 als IP) eine DNS-Anfrage des Webbrowsers auslösen. Haben sie eine Man-in-the-Middle-Position inne oder kontrollieren den DNS-Server, könnten sie DNS-Antworten fälschen, damit eine Rebind-Attacke auslösen und auf den WebSocket-Debugger verbinden – und so beliebigen Code ausführen (CVE-2022-32212, noch kein CVSS-Score, Risiko "hoch").

Zudem könnte node.js sich in Windows manipulierte Bibliotheken unterschieben lassen, wenn OpenSSL installiert ist und eine Konfigurationsdatei im Pfad C:\Program Files\Common Files\SSL\openssl.cnf exisitiert. In dem Fall sucht node.exe nach providers.dll im DLL-Suchpfad von Windows und würde eine von Angreifern in diesen Pfaden hinterlegte Bibliothek einbinden (CVE-2022-32223, noch kein CVSS-Score, hoch). Der 18er-Zweig von node.js ist von der Lücke nicht betroffen.

Die weiteren Schwachstellen stufen die Entwickler von node.js in ihrem Blog-Beitrag als mittleres Risiko ein (CVE-2022-32213, CVE-2022-32214, CVE-2022-32215, CVE-2022-32222 und CVE-2022-2097). Mit den neuen Versionen node.js 18.5.0, 16.16.0 (LTS) und 14.20.0 (LTS) dichtet das Projekt diese Sicherheitslücken ab. Administratoren sollten die Aktualisierungen zügig anwenden.

(dmk)