Node.js - CVE Sicherheitslücken auch für EOL-Versionen angekündigt

Das Node.js-Team hat auf Sicherheitsupdates vom 21. Januar 2025 reagiert, indem es CVEs für End-of-Life (EOL) Versionen zugeordnet hat – CVE-2025-23087 (Node.js v17 und frühere Versionen), CVE-2025-23088 (Node.js v19) sowie CVE-2025-23089 (Node.js v21). Ziel war es, auf die anhaltenden Risiken veralteter Releases hinzuweisen, die weiterhin in vielen Umgebungen eingesetzt werden.

Da das Team aufgrund begrenzter Ressourcen keine detaillierten Bewertungen für über 20 EOL-Versionen durchführen kann, sollen künftig alle neuen CVEs standardmäßig auch EOL-Versionen abdecken, solange keine spezifischen Ausschlussinformationen vorliegen. Nach Rücksprache mit MITRE, HackerOne und weiteren Partnern wurden die ursprünglichen CVEs zwar zurückgewiesen, jedoch werden die bestehenden Schwachstellencodes entsprechend aktualisiert, um den Sicherheitsrisiken älterer Node.js-Versionen gerecht zu werden.

Organisationen und Entwickler, die auf veraltete Releases setzen, werden dringend aufgefordert, sich der erhöhten Risiken bewusst zu sein und auf aktuelle Versionen umzusteigen oder kommerzielle Support-Optionen in Anspruch zu nehmen.

Related Posts

RCE Schwachstelle in Kibana entdeckt

März 2025 – In einer aktuellen Sicherheitsmeldung hat das Elastic Team ein dringendes Update für Kibana herausgebracht. Das Update, bezeichnet als ESA-2025-06, adressiert eine schwerwiegende Sicherheitslücke, die in früheren Versionen von Kibana für Angreifer potenziell ausnutzbar war. Die Schwachstelle beruht auf einem Prototype Pollution-Fehler, der es ermöglicht, durch speziell präparierte Datei-Uploads und HTTP-Anfragen beliebigen Code auszuführen.

Read More

Hacker Angriff auf französischen TK Anbieter Orange - Group

Orange Group bestätigt Hackerangriff – Ein Hacker, der sich unter dem Alias „Rey“ ausgibt und der HellCat-Ransomware-Gruppe zugeordnet wird, hat angeblich fast 12.000 Dateien im Wert von rund 6,5 GB gestohlen. Dabei seien interne Dokumente, E-Mail-Adressen (insgesamt 380.000 einzigartige Adressen), Quellcodes, Verträge, Rechnungen sowie Mitarbeiter- und Kundendaten, vornehmlich der rumänischen Niederlassung, entwendet worden.

Read More

Sicherheitslücken in OpenSSH entdeckt: MitM-Angriff und DoS-Angriffe möglich

Ein Sicherheitsbericht von Qualys vom 18.02.2025 hat zwei schwerwiegende Schwachstellen in OpenSSH ans Licht gebracht, die das Risiko von Man-in-the-Middle-Angriffen (MitM) sowie Denial-of-Service (DoS) Attacken erhöhen.

Read More