Angreifer könnten Systeme mit Node.js attackieren. Keine Schwachstelle gilt qua ungelegen.
(Bild: Artur Szczybylo/Shutterstock.com)
Security Von
- Dennis Schirrmacher
Entwickler, die JavaScript mit Node.js testen, sollten die Laufzeitumgebung aus Sicherheitsgründen auf den aktuellen Stand bringen. In aktuellen Versionen haben die Entwickler vier Lücken geschlossen.
Am gefährlichsten gilt eine Schwachstelle (CVE-2021-27290, „hoch") in der Komponente npm upgrade. Hier könnten Angreifer auf einem nicht näher beschriebenen Weg eine DoS-Attacke ausführen und die Laufzeitumgebung lahmlegen.
Sicherheitsupdates sind verfügbar
Die weiteren Lücken (CVE-2021-22918, CVE-2021-22921, CVE-2021-273362) sind mit dem Bedrohungsgrad „mittel“ eingestuft. Nach erfolgreichen Attacken könnten Angreifer weitere DoS-Zustände provozieren oder sich höhere Nutzerrechte aneignen.
Die verwundbaren Versionen listen die Entwickler in einer Warnmeldung auf. Gegen diese Attacken sind die Node.js-Ausgaben v12.22.2 (LTS), v14.17.2 (LTS) und v16.4.1 (LTS) abgesichert.
(des)
Quelle: www.heise.de