Das Node.js-Projekt (TNJP) hat am Mittwoch, den 3. April 2024, wichtige Sicherheitsupdates für die Versionen v18.x, v20.x und v21.x von Node.js veröffentlicht. Diese Aktualisierungen adressieren verschiedene Sicherheitsprobleme und beinhalten Updates für Abhängigkeiten, um öffentlich bekannte Schwachstellen zu beheben.
Die Sicherheitsveröffentlichung umfasst Aktualisierungen der folgenden Abhängigkeiten:
- llhttp Version 9.2.1 auf den Versionen 21.x, 20.x und 18.x
- undici Version 6.11.1 auf der Version 21.x
- undici Version 5.28.4 auf den Versionen 18.x und 20.x
folgende kritische Sicherheitsprobleme werden dabei im Update addressiert:
Assertion-Absturz in node::http2::Http2Session::~Http2Session führt zum Absturz des HTTP/2-Servers (CVE-2024-27983) – (Hoch)
Ein Angreifer kann den Node.js HTTP/2-Server unbrauchbar machen, indem er eine kleine Menge von HTTP/2-Frames-Paketen sendet. Eine unerwartete Beendigung der TCP-Verbindung durch den Client während der Bearbeitung von Kopfdatenrahmen kann einen Race Condition-Fehler auslösen. Diese Schwachstelle betrifft alle aktiven Release-Linien: 18.x, 20.x und 21.x.
HTTP-Anforderungs-Schmuggel über Content-Length-Obfuscation (CVE-2024-27982) – (Mittel):
Eine Schwachstelle im HTTP-Server von Node, bei der fehlerhafte Header zu HTTP-Anforderungs-Schmuggel führen können. Wenn ein Leerzeichen vor einem Content-Length-Header platziert wird, wird dies nicht korrekt interpretiert, was Angreifern ermöglicht, eine zweite Anfrage im Körper der ersten zu schmuggeln. Diese Schwachstelle betrifft alle Nutzer in allen aktiven Release-Linien: 18.x, 20.x und 21.x.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: