• IT-Karriere:
  • Services:

Javascript-Server: Sicherheitslücke in Node.js korrigiert

Ein Fehler in Node.js' HTTP-Parser ermöglicht es Angreifern, fremde Header auszuspähen. Die Entwickler empfehlen Nutzern, ihren Server zu aktualisieren.

Artikel veröffentlicht am , Matthias Thömmes
Entwickler beheben Sicherheitslücke in Node.js.
Entwickler beheben Sicherheitslücke in Node.js. (Bild: Node.js)

Die Entwickler des ereignisorientierten Javascript-Servers Node.js haben dessen Nutzer auf eine Sicherheitslücke hingewiesen. Sie ermöglicht es Angreifern, fremde HTTP-Anfragen auszuspähen. Der Fehler umfasst alle Versionen des Servers ab 0.5 und wurde in der aktuellen Version des stabilen Entwicklungszweigs 0.6.17 sowie in der instabilen 0.7.8er Version behoben. Er führt dazu, dass Angreifer mit manipulierten HTTP-Headern möglicherweise fremde Anfragen ändern können.

Stellenmarkt
  1. Vodafone GmbH, Düsseldorf
  2. ekom21 - KGRZ Hessen, Darmstadt, Kassel

Node.js' HTTP-Parser prüft die Länge eingehender Datenblöcke und soll gleich lange Datenblöcke erst kopieren, wenn die HTTP-Anfrage beendet oder ein Datenblock mit abweichender Länge eingegangen ist. So soll die Verarbeitung von Anfragen beschleunigt werden, weil das Kopieren in den Speicherbereichen vermieden würde.

Aufgrund eines vertauschten Variablennamens wird bei diesem Vergleich jedoch nicht die Länge des vorherigen, sondern stets die des aktuellen Datenblocks herangezogen. Eine Funktion des Parsers vermeidet es, dieses Verhalten auszunutzen, greift jedoch nicht bei leeren Headern. Ein Angreifer könnte nun nach dem Senden eines leeren HTTP-Headers weitere Zeichenketten gleicher Länge senden und so den Server dazu veranlassen, fremde Header preiszugeben.

Nutzer sollten ihren Server aktualisieren

Die Entwickler raten allen Nutzern, ihren Server zu aktualisieren oder zumindest einen Patch anzuwenden.

Da die Sicherheitslücke auf einen verwechselten Variablennamen zurückgeht, muss nur ein Zeichen in den Quelltext eingefügt werden. Die Entwickler haben ein Beispiel des Exploits auf Github bereitgestellt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 2,99€
  2. (u. a. Rage 2 für 11€, The Elder Scrolls V: Skyrim Special Edition für 11,99€, Doom Eternal...

Ultrasonic 19. Okt 2012

Handelt sich hier aber um C++. Insbesondere um eine struct. Diese haben sowieso eher...


Folgen Sie uns
       


Einfache Fluid-Simulation in Blender - Tutorial

Wir zeigen im Video, wie man in 15 Minuten eine Flüssigkeit in Blender animiert.

Einfache Fluid-Simulation in Blender - Tutorial Video aufrufen
Ryzen 7 Mobile 4700U im Test: Der bessere Ultrabook-i7
Ryzen 7 Mobile 4700U im Test
Der bessere Ultrabook-i7

Wir testen AMDs Ryzen-Renoir mit 10 bis 35 Watt sowie mit DDR4-3200 und LPDDR4X-4266. Die Benchmark-Resultate sind beeindruckend.
Ein Test von Marc Sauter

  1. Ryzen 4000G (Renoir) AMD bringt achtkernige Desktop-APUs mit Grafikeinheit
  2. AMD Ryzen Threadripper Pro unterstützen 2 TByte RAM
  3. Ryzen 3000XT im Test Schneller dank Xtra Transistoren

Campus Networks: Wenn das 5G-Netz nicht jeden reinlässt
Campus Networks
Wenn das 5G-Netz nicht jeden reinlässt

Über private 4G- und 5G-Netze gibt es meist nur Buzzwords. Wir wollten von einer Telekom-Expertin wissen, was die Campusnetze wirklich können und was noch nicht.
Von Achim Sawall

  1. Funkstrahlung Bürgermeister in Oberbayern greifen 5G der Telekom an
  2. IRT Öffentlich-rechtlicher Rundfunk schließt Forschungszentrum
  3. Deutsche Telekom 5G im UMTS-Spektrum für die Hälfte der Bevölkerung

Funkverschmutzung: Wer stört hier?
Funkverschmutzung
Wer stört hier?

Ob WLAN, Bluetooth, IoT oder Radioteleskope - vor allem in den unlizenzierten Frequenzbändern funken immer mehr elektronische Geräte. Die Folge können Störungen und eine schlechtere Performance der Geräte sein.
Ein Bericht von Jan Rähm

  1. 450 MHz Bundesnetzagentur legt sich bei neuer Frequenzvergabe fest
  2. Aus Kostengründen Tschechien schafft alle Telefonzellen ab
  3. Telekom Bis Jahresende verschwinden ISDN und analoges Festnetz

    •  /