Mehrere Sicherheitslücken in der JavaScript-Laufzeitumgebung node.js gefährden Anwender: Angreifer könnten in den älteren Versionen etwa Schadcode aus der Ferne einschmuggeln. Zum Wochenende haben die Entwickler fehlerbereinigte Versionen veröffentlicht. Das Update sollten Entwickler und Administratoren betroffener Webanwendungen rasch installieren. Die Schwachstelle mit dem höchsten Schweregrad beruht auf der Umgehung von Fehlerkorrekturen für ein Sicherheitsproblem, das bereits vergangenes Jahr behoben wurde (CVE-2021-22884) – ein häufiger Fehler, laut Google beruht die Hälfte der in der ersten Jahreshälfte 2022 missbrauchten Zero-Day-Lücken darauf. Die Überprüfung auf IsAllowedHost
können Angreifer umgehen, da die Funktion IsIPAddress
nicht korrekt prüft, ob eine Adresse valide ist oder nicht. Angreifer können durch Angabe ungültiger Werte (als Beispiel nennen die Entwickler 10.0.2.555 als IP) eine DNS-Anfrage des Webbrowsers auslösen. Haben sie eine Man-in-the-Middle-Position inne oder kontrollieren den DNS-Server, könnten sie DNS-Antworten fälschen, damit eine Rebind-Attacke auslösen und auf den WebSocket-Debugger verbinden – und so beliebigen Code ausführen (CVE-2022-32212, noch kein CVSS-Score, Risiko „hoch“). Zudem könnte node.js sich in Windows manipulierte Bibliotheken unterschieben lassen, wenn OpenSSL installiert ist und eine Konfigurationsdatei im Pfad C:\Program Files\Common Files\SSL\openssl.cnf
exisitiert. In dem Fall sucht node.exe
nach providers.dll
im DLL-Suchpfad von Windows und würde eine von Angreifern in diesen Pfaden hinterlegte Bibliothek einbinden (CVE-2022-32223, noch kein CVSS-Score, hoch). Der 18er-Zweig von node.js ist von der Lücke nicht betroffen. Die weiteren Schwachstellen stufen die Entwickler von node.js in ihrem Blog-Beitrag als mittleres Risiko ein (CVE-2022-32213, CVE-2022-32214, CVE-2022-32215, CVE-2022-32222 und CVE-2022-2097). Mit den neuen Versionen node.js 18.5.0, 16.16.0 (LTS) und 14.20.0 (LTS) dichtet das Projekt diese Sicherheitslücken ab. Administratoren sollten die Aktualisierungen zügig anwenden.