Wichtiges Sicherheitsupdate für Node.js auf Windows erschienen

Table of Contents

Das Sicherheitsupdate vom Juli 2024 für die Node.js-Versionen 22.x, 20.x und 18.x behebt mehrere Sicherheitslücken von Node.js Anwendungen auf Windows. Bitte updaten Sie Node.js 18, 20 und / oder 22 auf die folgenden Versionen:

  • Node.js v18.20.4
  • Node.js v20.15.1
  • Node.js v22.4.1

CVE-2024-36138: Umgehung unvollständiger Fixes für CVE-2024-27980 (Hoch)

Diese Schwachstelle ermöglicht die Ausführung beliebiger Befehle auf Windows-Systemen durch unsachgemäße Handhabung von Batch-Dateien in child_process.spawn und child_process.spawnSync.

CVE-2024-22020: Umgehung von Netzwerkimportbeschränkungen über Daten-URL (Mittel)

Ein Sicherheitsfehler erlaubt es, Netzwerkimportbeschränkungen zu umgehen und beliebigen Code auszuführen.

CVE-2024-36137: fs.fchown/fchmod umgeht Berechtigungsmodell (Niedrig)

Diese Schwachstelle betrifft das experimentelle Berechtigungsmodell und ermöglicht das Ändern von Datei-Eigentümern und -Berechtigungen trotz eingeschränkter Dateibeschreibungsrechte.

CVE-2024-22018: fs.lstat umgeht Berechtigungsmodell (Niedrig)

Durch eine unzureichende Implementierung des Berechtigungsmodells können Dateistatistiken ohne explizite Leserechte abgerufen werden.

CVE-2024-37372: Berechtigungsmodell verarbeitet UNC-Pfade falsch (Niedrig)

Ein Fehler im Berechtigungsmodell führt zu Sicherheitslücken bei der Verarbeitung von UNC-Pfaden auf Windows-Systemen.

Related Posts

Alte Outlook Clients funktionieren bald nicht mehr

Ab Mitte Juli 2024 werden veraltete Outlook-Clients eingestellt, was Benutzer mit alten Versionen auf iOS, Android, Mac sowie Windows Mail und Kalenderanwendungen betrifft. Ab Mitte August erhalten Benutzer veralteter Browser eine Fehlermeldung auf Outlook Web. Nutzer müssen auf die neuesten Versionen aktualisieren, um die Funktionalität und Unterstützung weiterhin nutzen zu können.

Read More

Hacker stehlen 650 GB Daten der TÜV Rheinland Akademie GmbH

Die TÜV Rheinland Akademie GmbH, ein Weiterbildungsanbieter für IT Security, meldete einen unautorisierten Zugriff auf einzelne Bereiche ihres Schulungsnetzwerks durch Hacker. Betroffen sind Trainingsinhalte, Raumbelegungsinformationen und potenziell Zugangsdaten zu Schulungen, die inzwischen unbrauchbar gemacht wurden. Sensible personenbezogene Daten scheinen nicht betroffen zu sein. Insgesamt belaufen sich die gestohlenen Daten auf über 650 GB.

Read More

Cloudflare bietet nun eine Block-Möglichkeit gegen KI-Crawler

Cloudflare hat eine neue Funktion eingeführt, die es Nutzern ermöglicht, spezifische Kategorien von Bots zuzulassen oder zu blockieren, einschließlich KI-Crawlern. Diese Neuerung richtet sich an alle Cloudflare-Nutzer, unabhängig vom gewählten Plan.

Read More