News

Patch für DoS-Schwachstelle in Node.js veröffentlicht

Die Entwickler von Note.js haben ein kritisches Sicherheitsupdate für die Ausführungsumgebung Node.js veröffentlicht, das eine Sicherheitslücke stopfen soll, die genutzt werden könnte, um Dienstblockaden – DoS – hervorzurufen.

Diese JavaScript-Umgebung wird auf die eine oder andere Weise von vielen Unternehmen verwendet, unter anderem von Netflix, PayPal, der New York Times, WalMart, GE und LinkedIn. Das vor fünf Jahren veröffentlichte Tool, für dessen Entwicklung das Unternehmen Joyent Inc. verantwortlich ist, wird von Firmen zum Aufbau von Programmierschnittstellen, Anwendungen, mobilen Sites und anderen Elementen der Infrastruktur verwendet.

Laut einem Eintrag im oi.js-Blog auf Medium vom letzten Freitag resultiert das Problem aus einem Bug in Googles JavaScipt-Engine V8, und der Art, wie sie UTF-Zeilen decodiert. Der Bug wirkt sich auf Node.js am Puffer zur UTF8-Konvertierung aus und er kann, wenn er ausgenutzt wird, dazu führen, dass die Prozesse abstürzen.

„Die Sicherheitsprobleme resultieren daraus, dass eine Vielzahl von Daten außerhalb einer Anwendung über diesen Mechanismus nach Node geliefert wird, und das bedeutet, dass die Anwender potentiell in der Lage sind, speziell aufbereitete Input-Daten ins System einzugeben, die einen Absturz der Anwendungen zufolge hätten“, heißt es in dem Posting.

In dem Blogeintrag wird zudem erklärt, dass das Problem die meisten Netzwerk- und Dateisystem-Operationen betrifft, neben „vielen Userland-Nutzern der Konvertierung des Puffers in UTF8-Zeilen“.

Trevor Norris, Entwickler von node.js und io.js, und Kris Reeves, Ingenieur von BBH Media, entdeckten die Sicherheitslücke, die laut dem io.js-Blog von Fedor Indutny aus dem Team von node.js und io.js beseitigt wurde.

Die Entwickler des Updates räumten ein, dass der Freitag vor dem vierten Juli, dem amerikanischen Nationalfeiertag, nicht die beste Zeit für die Veröffentlichung eines kritischen Updates ist, doch das hing ihren Angaben zufolge damit zusammen, dass die Beschreibung des Bugs und eines potentiellen Exploits versehentlich in einem allgemein zugänglichen Forum aufgetaucht waren.

„Wir haben es vorgezogen, den Unternehmen Tools an die Hand zu geben, um sich vor DoS zu schützen und mögliche Angriffe abzuwehren, falls es dazu kommen sollte, als einfach nur dazusitzen und zu hoffen, dass nichts passiert“, schreiben die Entwickler.

In dem Posting heißt es außerdem, dass die Veröffentlichung des Updates ursprünglich für Freitagmittag nach Pacific Standard Time geplant war, das Patch allerdings noch nicht fertig war und den ganzen Tag erweiterten Tests und einem Verifikationsprozess für V8, io.js und Node.js unterzogen wurde.

Die Version Node.js 0.10 ist von dem Bug nicht betroffen, und Nutzern der Version 0.12 wird empfohlen, die neuste Version der Plattform, nämlich Version 0.12.6, zu laden, um den Bug zu beseitigen. io,js, eine eigenständige JavaScript-Plattform, die auf Node basiert, wurde ebenfalls aktualisiert auf die Versionen 2.3 und 1.8.

Die Korrektur des Bugs in Google V8 wurde letzten Montag veröffentlicht.

Quelle: Threatpost

Patch für DoS-Schwachstelle in Node.js veröffentlicht

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach