Sicherheitsupdates: Mehrere Lücke gefährden JavaScript-Laufzeitumgebung Node.js
(Bild: Artur Szczybylo/Shutterstock.com)
Angreifer könnten Systeme mit Node.js attackieren. Keine Schwachstelle gilt als kritisch.
Entwickler, die JavaScript mit Node.js testen, sollten die Laufzeitumgebung aus Sicherheitsgründen auf den aktuellen Stand bringen. In aktuellen Versionen haben die Entwickler vier Lücken geschlossen.
Am gefährlichsten gilt eine Schwachstelle (CVE-2021-27290, „hoch") in der Komponente npm upgrade. Hier könnten Angreifer auf einem nicht näher beschriebenen Weg eine DoS-Attacke ausführen und die Laufzeitumgebung lahmlegen.
Sicherheitsupdates sind verfügbar
Die weiteren Lücken (CVE-2021-22918, CVE-2021-22921, CVE-2021-273362) sind mit dem Bedrohungsgrad „mittel“ eingestuft. Nach erfolgreichen Attacken könnten Angreifer weitere DoS-Zustände provozieren oder sich höhere Nutzerrechte aneignen.
Die verwundbaren Versionen listen die Entwickler in einer Warnmeldung auf [1]. Gegen diese Attacken sind die Node.js-Ausgaben v12.22.2 (LTS), v14.17.2 (LTS) und v16.4.1 (LTS) abgesichert.
[2](des [3])
URL dieses Artikels:
https://www.heise.de/-6128270
Links in diesem Artikel:
[1] https://nodejs.org/en/blog/vulnerability/july-2021-security-releases/
[2] https://aktionen.heise.de/heise-security-pro?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[3] mailto:des@heise.de
Copyright © 2021 Heise Medien