Sicherheitsupdates: Mehrere Lücke gefährden JavaScript-Laufzeitumgebung Node.js
Angreifer könnten Systeme mit Node.js attackieren. Keine Schwachstelle gilt als kritisch.
![](https://heise.cloudimg.io/width/610/q85.png-lossy-85.webp-lossy-85.foil1/_www-heise-de_/imgs/18/3/1/3/3/2/2/3/shutterstock_1492712420-e4c957705b719e80.jpeg)
(Bild: Artur Szczybylo/Shutterstock.com)
Entwickler, die JavaScript mit Node.js testen, sollten die Laufzeitumgebung aus Sicherheitsgründen auf den aktuellen Stand bringen. In aktuellen Versionen haben die Entwickler vier Lücken geschlossen.
Am gefährlichsten gilt eine Schwachstelle (CVE-2021-27290, „hoch") in der Komponente npm upgrade. Hier könnten Angreifer auf einem nicht näher beschriebenen Weg eine DoS-Attacke ausführen und die Laufzeitumgebung lahmlegen.
Sicherheitsupdates sind verfügbar
Die weiteren Lücken (CVE-2021-22918, CVE-2021-22921, CVE-2021-273362) sind mit dem Bedrohungsgrad „mittel“ eingestuft. Nach erfolgreichen Attacken könnten Angreifer weitere DoS-Zustände provozieren oder sich höhere Nutzerrechte aneignen.
Die verwundbaren Versionen listen die Entwickler in einer Warnmeldung auf. Gegen diese Attacken sind die Node.js-Ausgaben v12.22.2 (LTS), v14.17.2 (LTS) und v16.4.1 (LTS) abgesichert.
(des)