Javascript-Server: Sicherheitslücke in Node.js korrigiert

Ein Fehler in Node.js' HTTP-Parser ermöglicht es Angreifern, fremde Header auszuspähen. Die Entwickler empfehlen Nutzern, ihren Server zu aktualisieren.

Artikel veröffentlicht am , Matthias Thömmes
Entwickler beheben Sicherheitslücke in Node.js.
Entwickler beheben Sicherheitslücke in Node.js. (Bild: Node.js)

Die Entwickler des ereignisorientierten Javascript-Servers Node.js haben dessen Nutzer auf eine Sicherheitslücke hingewiesen. Sie ermöglicht es Angreifern, fremde HTTP-Anfragen auszuspähen. Der Fehler umfasst alle Versionen des Servers ab 0.5 und wurde in der aktuellen Version des stabilen Entwicklungszweigs 0.6.17 sowie in der instabilen 0.7.8er Version behoben. Er führt dazu, dass Angreifer mit manipulierten HTTP-Headern möglicherweise fremde Anfragen ändern können.

Stellenmarkt
  1. Mitarbeiter*in (m/w/d) IT und Projekte
    Stuttgarter Wohnungs- und Städtebaugesellschaft mbH, Stuttgart
  2. SAP MM/WM Junior Berater (m/w/x)
    über duerenhoff GmbH, Villingen-Schwenningen
Detailsuche

Node.js' HTTP-Parser prüft die Länge eingehender Datenblöcke und soll gleich lange Datenblöcke erst kopieren, wenn die HTTP-Anfrage beendet oder ein Datenblock mit abweichender Länge eingegangen ist. So soll die Verarbeitung von Anfragen beschleunigt werden, weil das Kopieren in den Speicherbereichen vermieden würde.

Aufgrund eines vertauschten Variablennamens wird bei diesem Vergleich jedoch nicht die Länge des vorherigen, sondern stets die des aktuellen Datenblocks herangezogen. Eine Funktion des Parsers vermeidet es, dieses Verhalten auszunutzen, greift jedoch nicht bei leeren Headern. Ein Angreifer könnte nun nach dem Senden eines leeren HTTP-Headers weitere Zeichenketten gleicher Länge senden und so den Server dazu veranlassen, fremde Header preiszugeben.

Nutzer sollten ihren Server aktualisieren

Die Entwickler raten allen Nutzern, ihren Server zu aktualisieren oder zumindest einen Patch anzuwenden.

Golem Akademie
  1. Netzwerktechnik Kompaktkurs: virtueller Fünf-Tage-Workshop
    17.–21. Januar 2022, virtuell
  2. Cloud Transformation Roadmap: Strategien, Roadmap, Governance: virtueller Zwei-Tage-Workshop
    7.–8. März 2022, Virtuell
Weitere IT-Trainings

Da die Sicherheitslücke auf einen verwechselten Variablennamen zurückgeht, muss nur ein Zeichen in den Quelltext eingefügt werden. Die Entwickler haben ein Beispiel des Exploits auf Github bereitgestellt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Ultrasonic 19. Okt 2012

Handelt sich hier aber um C++. Insbesondere um eine struct. Diese haben sowieso eher...



Aktuell auf der Startseite von Golem.de
Klage
Paypal friert Konten ein und behält Geld nach 180 Tagen

In einer Sammelklage wird Paypal vorgeworfen, Konten ohne Nennung von Gründen einzufrieren und das Geld nach 180 Tagen zu behalten.

Klage: Paypal friert Konten ein und behält Geld nach 180 Tagen
Artikel
  1. Krypto-Verbot: Panikverkäufe von Krypto-Mininggerät im Kosovo
    Krypto-Verbot
    Panikverkäufe von Krypto-Mininggerät im Kosovo

    Schürfen von Kryptowährungen ist im Kosovo seit kurzem verboten. Mineure versuchen, ihr Equipment oft zu Schleuderpreisen loszuwerden.

  2. Malware: Microsoft warnt vor ungewöhnlicher Schadsoftware in Ukraine
    Malware
    Microsoft warnt vor ungewöhnlicher Schadsoftware in Ukraine

    Die Schadsoftware soll sich als Ransomware tarnen.

  3. Großunternehmen: Lindner will Mindeststeuer zum 1. Januar 2023 umsetzen
    Großunternehmen
    Lindner will Mindeststeuer zum 1. Januar 2023 umsetzen

    Bundesfinanzminister Christian Lindner will die Mindeststeuer für Großunternehmen in Deutschland schnell einführen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (u.a. WD Blue 3D 1TB 79€, be quiet! Straight Power 11 850W 119€ u. PowerColor RX 6600 Hellhound 529€) • Alternate: Weekend-Deals • HyperX Cloud II Wireless 107,19€ • Cooler Master MH752 54,90€ • Gainward RTX 3080 12GB 1.599€ • Saturn-Hits • 3 für 2: Marvel & Star Wars [Werbung]
    •  /