Patch für DoS-Schwachstelle in Node.js veröffentlicht

Die Entwickler von Note.js haben ein kritisches Sicherheitsupdate für die Ausführungsumgebung Node.js veröffentlicht, das eine Sicherheitslücke stopfen soll, die genutzt werden könnte, um Dienstblockaden – DoS – hervorzurufen.

Diese JavaScript-Umgebung wird auf die eine oder andere Weise von vielen Unternehmen verwendet, unter anderem von Netflix, PayPal, der New York Times, WalMart, GE und LinkedIn. Das vor fünf Jahren veröffentlichte Tool, für dessen Entwicklung das Unternehmen Joyent Inc. verantwortlich ist, wird von Firmen zum Aufbau von Programmierschnittstellen, Anwendungen, mobilen Sites und anderen Elementen der Infrastruktur verwendet.

Laut einem Eintrag im oi.js-Blog auf Medium vom letzten Freitag resultiert das Problem aus einem Bug in Googles JavaScipt-Engine V8, und der Art, wie sie UTF-Zeilen decodiert. Der Bug wirkt sich auf Node.js am Puffer zur UTF8-Konvertierung aus und er kann, wenn er ausgenutzt wird, dazu führen, dass die Prozesse abstürzen.

„Die Sicherheitsprobleme resultieren daraus, dass eine Vielzahl von Daten außerhalb einer Anwendung über diesen Mechanismus nach Node geliefert wird, und das bedeutet, dass die Anwender potentiell in der Lage sind, speziell aufbereitete Input-Daten ins System einzugeben, die einen Absturz der Anwendungen zufolge hätten“, heißt es in dem Posting.

In dem Blogeintrag wird zudem erklärt, dass das Problem die meisten Netzwerk- und Dateisystem-Operationen betrifft, neben „vielen Userland-Nutzern der Konvertierung des Puffers in UTF8-Zeilen“.

Trevor Norris, Entwickler von node.js und io.js, und Kris Reeves, Ingenieur von BBH Media, entdeckten die Sicherheitslücke, die laut dem io.js-Blog von Fedor Indutny aus dem Team von node.js und io.js beseitigt wurde.

Die Entwickler des Updates räumten ein, dass der Freitag vor dem vierten Juli, dem amerikanischen Nationalfeiertag, nicht die beste Zeit für die Veröffentlichung eines kritischen Updates ist, doch das hing ihren Angaben zufolge damit zusammen, dass die Beschreibung des Bugs und eines potentiellen Exploits versehentlich in einem allgemein zugänglichen Forum aufgetaucht waren.

„Wir haben es vorgezogen, den Unternehmen Tools an die Hand zu geben, um sich vor DoS zu schützen und mögliche Angriffe abzuwehren, falls es dazu kommen sollte, als einfach nur dazusitzen und zu hoffen, dass nichts passiert“, schreiben die Entwickler.

In dem Posting heißt es außerdem, dass die Veröffentlichung des Updates ursprünglich für Freitagmittag nach Pacific Standard Time geplant war, das Patch allerdings noch nicht fertig war und den ganzen Tag erweiterten Tests und einem Verifikationsprozess für V8, io.js und Node.js unterzogen wurde.

Die Version Node.js 0.10 ist von dem Bug nicht betroffen, und Nutzern der Version 0.12 wird empfohlen, die neuste Version der Plattform, nämlich Version 0.12.6, zu laden, um den Bug zu beseitigen. io,js, eine eigenständige JavaScript-Plattform, die auf Node basiert, wurde ebenfalls aktualisiert auf die Versionen 2.3 und 1.8.

Die Korrektur des Bugs in Google V8 wurde letzten Montag veröffentlicht.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.