Kritische Sicherheitsupdates für Node.js

Das Node.js-Projekt (TNJP) hat am Mittwoch, den 3. April 2024, wichtige Sicherheitsupdates für die Versionen v18.x, v20.x und v21.x von Node.js veröffentlicht. Diese Aktualisierungen adressieren verschiedene Sicherheitsprobleme und beinhalten Updates für Abhängigkeiten, um öffentlich bekannte Schwachstellen zu beheben.

Die Sicherheitsveröffentlichung umfasst Aktualisierungen der folgenden Abhängigkeiten:

  • llhttp Version 9.2.1 auf den Versionen 21.x, 20.x und 18.x
  • undici Version 6.11.1 auf der Version 21.x
  • undici Version 5.28.4 auf den Versionen 18.x und 20.x

folgende kritische Sicherheitsprobleme werden dabei im Update addressiert:

Assertion-Absturz in node::http2::Http2Session::~Http2Session führt zum Absturz des HTTP/2-Servers (CVE-2024-27983) - (Hoch)

Ein Angreifer kann den Node.js HTTP/2-Server unbrauchbar machen, indem er eine kleine Menge von HTTP/2-Frames-Paketen sendet. Eine unerwartete Beendigung der TCP-Verbindung durch den Client während der Bearbeitung von Kopfdatenrahmen kann einen Race Condition-Fehler auslösen. Diese Schwachstelle betrifft alle aktiven Release-Linien: 18.x, 20.x und 21.x.

HTTP-Anforderungs-Schmuggel über Content-Length-Obfuscation (CVE-2024-27982) - (Mittel):

Eine Schwachstelle im HTTP-Server von Node, bei der fehlerhafte Header zu HTTP-Anforderungs-Schmuggel führen können. Wenn ein Leerzeichen vor einem Content-Length-Header platziert wird, wird dies nicht korrekt interpretiert, was Angreifern ermöglicht, eine zweite Anfrage im Körper der ersten zu schmuggeln. Diese Schwachstelle betrifft alle Nutzer in allen aktiven Release-Linien: 18.x, 20.x und 21.x.

Related Posts

Chrome: Neuer Ansatz gegen Cookie-Diebstahl

Cookies sind ein wesentlicher Bestandteil des modernen Webs. Sie erleichtern Ihr Online-Erlebnis, indem sie Browsing-Informationen speichern, sodass Websites Sie eingeloggt halten und Ihre Präferenzen merken können. Aufgrund ihrer Nützlichkeit sind Cookies jedoch auch ein begehrtes Ziel für Angreifer.

Read More

Jumpserver Schwachstelle ermöglicht Ausführung von willkürlichem Code

Eine gravierende Sicherheitslücke in Jumpserver ermöglicht Angreifern, willkürlichen Code innerhalb des Celery-Containers auszuführen. Die Schwachstelle betrifft Versionen von v3.0.0 bis v3.10.6 und wurde in der neuesten Version v3.10.7 behoben.

Read More

VMware veröffentlicht Sicherheitsupdates für SD-WAN Edge und Orchestrator

Am 2. April 2024 gab VMware die Veröffentlichung eines Sicherheitshinweises (VMSA-2024-0008) bekannt, der mehrere Sicherheitsanfälligkeiten in VMware SD-WAN Edge und SD-WAN Orchestrator adressiert.

Read More