Javascript-Server Sicherheitslücke in Node.js korrigiert

Ein Fehler in Node.js' HTTP-Parser ermöglicht es Angreifern, fremde Header auszuspähen. Die Entwickler empfehlen Nutzern, ihren Server zu aktualisieren.

Anzeige

Die Entwickler des ereignisorientierten Javascript-Servers Node.js haben dessen Nutzer auf eine Sicherheitslücke hingewiesen. Sie ermöglicht es Angreifern, fremde HTTP-Anfragen auszuspähen. Der Fehler umfasst alle Versionen des Servers ab 0.5 und wurde in der aktuellen Version des stabilen Entwicklungszweigs 0.6.17 sowie in der instabilen 0.7.8er Version behoben. Er führt dazu, dass Angreifer mit manipulierten HTTP-Headern möglicherweise fremde Anfragen ändern können.

Node.js' HTTP-Parser prüft die Länge eingehender Datenblöcke und soll gleich lange Datenblöcke erst kopieren, wenn die HTTP-Anfrage beendet oder ein Datenblock mit abweichender Länge eingegangen ist. So soll die Verarbeitung von Anfragen beschleunigt werden, weil das Kopieren in den Speicherbereichen vermieden würde.

Aufgrund eines vertauschten Variablennamens wird bei diesem Vergleich jedoch nicht die Länge des vorherigen, sondern stets die des aktuellen Datenblocks herangezogen. Eine Funktion des Parsers vermeidet es, dieses Verhalten auszunutzen, greift jedoch nicht bei leeren Headern. Ein Angreifer könnte nun nach dem Senden eines leeren HTTP-Headers weitere Zeichenketten gleicher Länge senden und so den Server dazu veranlassen, fremde Header preiszugeben.

Nutzer sollten ihren Server aktualisieren

Die Entwickler raten allen Nutzern, ihren Server zu aktualisieren oder zumindest einen Patch anzuwenden.

Da die Sicherheitslücke auf einen verwechselten Variablennamen zurückgeht, muss nur ein Zeichen in den Quelltext eingefügt werden. Die Entwickler haben ein Beispiel des Exploits auf Github bereitgestellt.

Kommentarübersicht
Re: this-> ftw
Ultrasonic 19. Okt 2012

Handelt sich hier aber um C++. Insbesondere um eine struct. Diese haben sowieso eher...

Kommentieren

Trackbacks
Anzeige
Stellenmarkt
  1. W2-Professur für Wirtschaftsinformatik
    Hochschule Ruhr West, Bottrop und Mülheim an der Ruhr
  2. Programmierer / Fachinformatiker (m/w)
    TKgesundheit GmbH, Hamburg
  3. Leiter (m/w) Software Development Produktion
    BYK-Gardner GmbH, Geretsried
  4. Entwickler / Programmierer Cloud Computing (m/w)
    factory42 GmbH, München

 

Detailsuche

Folgen Sie uns
       
Videos
Dynasty Warriors 8 - Trailer (Gameplay, E3 2013) Dynasty Warriors 8 - Trailer (Gameplay, E3 2013)
Ticker
  1. Intel MIC

    Xeon Phi in neuen und kompakten Formen

  2. Ex-US-Vizepräsident

    Cheney verdächtigt Edward Snowden der Spionage für China

  3. Systemtool

    CPU-Z für Android zeigt Takt und Systemdaten

  4. Opt-out-Zwang

    Großbritannien führt ab 2014 Pornofilter für alle ein

  5. Gearbox vs 3D Realms

    Millionenstreit um Duke Nukem Forever

  6. ISC 2013

    Telekom und Alcatel-Lucent zeigen 400 GBit/s

  7. Eco

    EU streicht Gelder für Bekämpfung von Kinderpornografie

  8. Watch Dogs

    Der Sysadmin-Alptraum

  9. Formfaktor M.2

    PCIe-SSD von Samsung für Ultrabooks mit 1,4 GByte/s

  10. Xbox One

    340.000 Asteroiden aus der Cloud

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
Xbox One
Xbox One: Anonymer Microsoft-Entwickler verteidigt DRM
Xbox One
Anonymer Microsoft-Entwickler verteidigt DRM

Ein anonymer Entwickler, der nach eigenen Angaben bei Microsoft an der Xbox One arbeitet, verteidigt Microsofts DRM-Strategie für die Xbox One. Es gehe darum, eine Art Steam für Konsolen zu schaffen, die Preise für Spiele zu senken und dafür zu sorgen, dass mehr Geld bei den Entwicklern und weniger bei Gebrauchthändlern ankomme.

  1. Video-Interview Cevat Yerli über Römer, Ryse und Xbox-One-Technik
  2. Xbox One Ein Halo, ein Erscheinungstermin und ein Preis
  3. Xbox One Details zu Gebrauchtspielen, Onlinezwang und Datenschutz
Asus
Asus Vivo PC: Mini-PC mit leicht tauschbaren Komponenten
Asus Vivo PC
Mini-PC mit leicht tauschbaren Komponenten

Asus hat weitere Spezifikationen zu seinem neuen Vivo PC veröffentlicht. Der Mini-PC fasst demnach bis zu 16 GByte Arbeitsspeicher und bietet zahlreiche Anschlussmöglichkeiten.

  1. Asus Neues Nexus 7 könnte bereits im Juli kommen
  2. Asus P2B Mobiler HD-Beamer mit Akku
  3. Asus 3-in1-PC, Tegra-4-Tablet und Fonepad Note
Mac Pro
Apple: Neuer Mac Pro ist rund und schwarz
Apple
Neuer Mac Pro ist rund und schwarz

Apple-Nutzer, die schon fast die Hoffnung auf einen neuen Mac Pro aufgegeben hatten, können aufatmen. Apple hat, wie von Tim Cook versprochen, einen neuen Desktoprechner vorgestellt, der sich an Profis wendet. Er ist schwarz, deutlich kleiner als das silberne Modell und steckt in einem röhrenförmigen Gehäuse.

  1. XMac Mini Server 2H Mac Mini im Servergehäuse mit PCI-E-Slots
  2. Werbemanager Ken Segall "Apple würdigt sich mit iPhone-Produktnamen selbst herab"
Forumsbeiträge »
  1. Opt-out-Zwang Großbritannien führt ab 2014 Pornofilter für alle ein

    Re: Wer schützt uns vor solchen christlichen Taliban?

    Aycee | 06:53

  2. Test The Last of Us Meisterwerk der Playstation-3-Endzeit

    Re: technisch naja...

    Tzven | 06:49

  3. Xbox One 340.000 Asteroiden aus der Cloud

    Braucht das jemand?

    FrankKi | 06:46

  4. Gearbox vs 3D Realms Millionenstreit um Duke Nukem Forever

    Re: Warum sollen die Verursacher des negativen...

    Tzven | 06:29

  5. Opt-out-Zwang Großbritannien führt ab 2014 Pornofilter für alle ein

    (noch) zu umgehen?

    Stuffmuffin | 06:22

Ticker »
  1. Intel MIC Xeon Phi in neuen und kompakten Formen

    19:18

  2. Ex-US-Vizepräsident Cheney verdächtigt Edward Snowden der Spionage für China

    18:28

  3. Systemtool CPU-Z für Android zeigt Takt und Systemdaten

    18:04

  4. Opt-out-Zwang Großbritannien führt ab 2014 Pornofilter für alle ein

    17:22

  5. Gearbox vs 3D Realms Millionenstreit um Duke Nukem Forever

    16:38

  6. ISC 2013 Telekom und Alcatel-Lucent zeigen 400 GBit/s

    15:52

  7. Eco EU streicht Gelder für Bekämpfung von Kinderpornografie

    13:46

  8. Watch Dogs Der Sysadmin-Alptraum

    12:47

Zum Artikel