Sicherheitslücken in Node.js behoben: Update behebt potenziell schädliche Schwachstellen

Sicherheitslücken in der JavaScript-Laufzeitumgebung Node.js wurden in einem kürzlich veröffentlichten Update behoben. Diese Lücken haben das Potenzial, erheblichen Schaden anzurichten, da Angreifer durch die Ausweitung von Privilegien und unbefugte Ausführung von Code nicht nur Schaden verursachen, sondern auch Node-basierte Dienste zum Absturz bringen können.

Besonders gefährlich ist ein Fehler bei der Verarbeitung von Linux Capabilities wie CAP_SYS_ADMIN. Wenn ein Node-Prozess mit erhöhten Berechtigungen arbeitet, werden diese nicht ordnungsgemäß verarbeitet, was es Angreifern ermöglicht, ihren eigenen Code in den Prozess einzuschleusen. Diese Sicherheitslücke mit der Bezeichnung CVE-2024-21892 birgt ein erhebliches Risiko.

Eine weitere Sicherheitslücke, CVE-2024-22019 genannt, stellt ein Risiko für Denial-of-Service-Angriffe dar. Hierbei werden präparierte HTTP-Pakete mit Chunked-Encoding verwendet, was zu einer Überlastung von Prozessor und Netzwerk führen kann.

Weitere Sicherheitslücken umfassen die inkorrekte Behandlung von Dateipfaden (CVE-2024-21896) und das versehentliche Nicht-Abgeben von Privilegien trotz setuid()-Aufruf (CVE-2024-22017), die ebenfalls als erhebliches Risiko eingestuft werden.

Des Weiteren wurden drei Sicherheitslücken mit mittlerem Risiko entdeckt. Eine davon ist der kryptographische Angriff namens “Marvin Attack”, der ein Risiko für die verschlüsselte Kommunikation mit Node-basierten APIs darstellt (CVE-2023-46809). Zudem kann das derzeit noch experimentelle Berechtigungsmodell in Node 20 und 21 durch geschickte Pfad-Manipulation ausgetrickst werden (CVE-2024-21891). Auch in der Dokumentation zur Wildcard-Verarbeitung bei Kommandozeilenparametern gibt es eine Sicherheitslücke, bei der nicht erwähnt wird, dass alle Zeichen nach dem Asterisk * ignoriert werden, was dazu führen kann, dass zu viele Dateien zum Lesen freigegeben werden (CVE-2024-21890).

Diese Probleme treten in den Versionen 20.x und 21.x von Node.js auf, teilweise jedoch nur bei Verwendung des experimentellen Berechtigungsmodells (CVE-2024-21890 und CVE-2024-21891). Auch die noch vom Node-Projekt unterstützte Version 18 ist von den Sicherheitslücken CVE-2024-21891, CVE-2024-22019 und CVE-2023-46809 betroffen.

Die aktualisierten Versionen von Node.js beheben nicht nur diese Sicherheitslücken, sondern auch solche in libuv, undici und OpenSSL. Die Sicherheitsupdates wurden in den Versionen 20.11.1, 21.6.2 und 18.9.1 implementiert.

Es wird dringend empfohlen, die neuesten Versionen von Node.js einzusetzen, um von den behobenen Sicherheitslücken zu profitieren und das Risiko von Angriffen zu minimieren. Im Oktober letzten Jahres wurde die Version 21 der JavaScript-Runtime veröffentlicht, während die vorherige Version 20 als Langzeitunterstützung (LTS) eingestuft wurde.

Schlagwörter: CVE-2024-21891 + CVE-2024-21890 + Linux

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 15. Februar 2024