Javascript-Server: Sicherheitslücke in Node.js korrigiert

Ein Fehler in Node.js' HTTP-Parser ermöglicht es Angreifern, fremde Header auszuspähen. Die Entwickler empfehlen Nutzern, ihren Server zu aktualisieren.

Artikel veröffentlicht am , Matthias Thömmes
Entwickler beheben Sicherheitslücke in Node.js.
Entwickler beheben Sicherheitslücke in Node.js. (Bild: Node.js)

Die Entwickler des ereignisorientierten Javascript-Servers Node.js haben dessen Nutzer auf eine Sicherheitslücke hingewiesen. Sie ermöglicht es Angreifern, fremde HTTP-Anfragen auszuspähen. Der Fehler umfasst alle Versionen des Servers ab 0.5 und wurde in der aktuellen Version des stabilen Entwicklungszweigs 0.6.17 sowie in der instabilen 0.7.8er Version behoben. Er führt dazu, dass Angreifer mit manipulierten HTTP-Headern möglicherweise fremde Anfragen ändern können.

Node.js' HTTP-Parser prüft die Länge eingehender Datenblöcke und soll gleich lange Datenblöcke erst kopieren, wenn die HTTP-Anfrage beendet oder ein Datenblock mit abweichender Länge eingegangen ist. So soll die Verarbeitung von Anfragen beschleunigt werden, weil das Kopieren in den Speicherbereichen vermieden würde.

Aufgrund eines vertauschten Variablennamens wird bei diesem Vergleich jedoch nicht die Länge des vorherigen, sondern stets die des aktuellen Datenblocks herangezogen. Eine Funktion des Parsers vermeidet es, dieses Verhalten auszunutzen, greift jedoch nicht bei leeren Headern. Ein Angreifer könnte nun nach dem Senden eines leeren HTTP-Headers weitere Zeichenketten gleicher Länge senden und so den Server dazu veranlassen, fremde Header preiszugeben.

Nutzer sollten ihren Server aktualisieren

Die Entwickler raten allen Nutzern, ihren Server zu aktualisieren oder zumindest einen Patch anzuwenden.

Da die Sicherheitslücke auf einen verwechselten Variablennamen zurückgeht, muss nur ein Zeichen in den Quelltext eingefügt werden. Die Entwickler haben ein Beispiel des Exploits auf Github bereitgestellt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Nachfolger von CS GO
Counter-Strike 2 ist geleakt

Eigentlich steht CS 2 bisher nur ausgewählten Personen zur Verfügung. Eine davon hat die Spieldateien aber offenbar ins Internet hochgeladen.

Nachfolger von CS GO: Counter-Strike 2 ist geleakt
Artikel
  1. Model S und Model X: Teslas rundes Lenkrad ist ausverkauft
    Model S und Model X
    Teslas rundes Lenkrad ist ausverkauft

    Tesla kann die Alternative zum Steuerhorn beim Model X und Model S nicht liefern. Offenbar wurde die Nachfrage unterschätzt.

  2. Akkutechnik: Amprius stellt Akkuzellen mit über 500 Wh/kg vor
    Akkutechnik
    Amprius stellt Akkuzellen mit über 500 Wh/kg vor

    Mit viel Aufwand können inzwischen Akkus nah an der Grenze zum physikalisch Machbaren gebaut werden. Was fehlt, ist die Massenproduktion.
    Eine Analyse von Frank Wunderlich-Pfeiffer

  3. Tiktok-Randale bei Creed III: Kinos setzen auf Erhöhung der FSK und Security
    Tiktok-Randale bei Creed III
    Kinos setzen auf Erhöhung der FSK und Security

    Kinos wollen verhindern, dass Zuschauer wegen Störaktionen dem Boxerfilm Creed III fernbleiben. Der Trend, sich beim Randalieren auf Tiktok zu zeigen, hält an.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • MediaMarkt-Osterangebote • 3 Spiele kaufen, nur 2 bezahlen • Cyberport Jubiläums-Deals • MindStar: Gigabyte RTX 4080 OC 1.229€ • NBB Black Weeks • Crucial SSD 1TB/2TB (PS5) bis -42% • Amazon Smart TVs ab 189€ • PS5 + RE4 569€ • Nintendo Switch + Spiel + Goodie 288€ [Werbung]
    •  /