• IT-Karriere:
  • Services:

Javascript-Server: Sicherheitslücke in Node.js korrigiert

Ein Fehler in Node.js' HTTP-Parser ermöglicht es Angreifern, fremde Header auszuspähen. Die Entwickler empfehlen Nutzern, ihren Server zu aktualisieren.

Artikel veröffentlicht am , Matthias Thömmes
Entwickler beheben Sicherheitslücke in Node.js.
Entwickler beheben Sicherheitslücke in Node.js. (Bild: Node.js)

Die Entwickler des ereignisorientierten Javascript-Servers Node.js haben dessen Nutzer auf eine Sicherheitslücke hingewiesen. Sie ermöglicht es Angreifern, fremde HTTP-Anfragen auszuspähen. Der Fehler umfasst alle Versionen des Servers ab 0.5 und wurde in der aktuellen Version des stabilen Entwicklungszweigs 0.6.17 sowie in der instabilen 0.7.8er Version behoben. Er führt dazu, dass Angreifer mit manipulierten HTTP-Headern möglicherweise fremde Anfragen ändern können.

Stellenmarkt
  1. über duerenhoff GmbH, Darmstadt
  2. über duerenhoff GmbH, Hamburg

Node.js' HTTP-Parser prüft die Länge eingehender Datenblöcke und soll gleich lange Datenblöcke erst kopieren, wenn die HTTP-Anfrage beendet oder ein Datenblock mit abweichender Länge eingegangen ist. So soll die Verarbeitung von Anfragen beschleunigt werden, weil das Kopieren in den Speicherbereichen vermieden würde.

Aufgrund eines vertauschten Variablennamens wird bei diesem Vergleich jedoch nicht die Länge des vorherigen, sondern stets die des aktuellen Datenblocks herangezogen. Eine Funktion des Parsers vermeidet es, dieses Verhalten auszunutzen, greift jedoch nicht bei leeren Headern. Ein Angreifer könnte nun nach dem Senden eines leeren HTTP-Headers weitere Zeichenketten gleicher Länge senden und so den Server dazu veranlassen, fremde Header preiszugeben.

Nutzer sollten ihren Server aktualisieren

Die Entwickler raten allen Nutzern, ihren Server zu aktualisieren oder zumindest einen Patch anzuwenden.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
  2. Einführung in die Programmierung mit Rust
    21.-24. September 2021, online
Weitere IT-Trainings

Da die Sicherheitslücke auf einen verwechselten Variablennamen zurückgeht, muss nur ein Zeichen in den Quelltext eingefügt werden. Die Entwickler haben ein Beispiel des Exploits auf Github bereitgestellt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (u. a. Yu-Gi-Oh! Legacy of the Duelist für 7,20€, Yu-Gi-Oh! Legacy of the Duelist: Link...
  2. 35,99€
  3. ab 69,99€ (Release 18.06.)
  4. 58,99€

Ultrasonic 19. Okt 2012

Handelt sich hier aber um C++. Insbesondere um eine struct. Diese haben sowieso eher...


Folgen Sie uns
       


It Takes Two - Fazit

Nur für zwei: Das Action-Adventure It Takes Two schickt ein geschrumpftes Paar in eine herausfordernde und herzerwärmende Romantic Comedy.

It Takes Two - Fazit Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /