ACHTUNG Node.js Security-Update 4.1.2

Für Node.js gibt es ein wichtiges Sicherheits-Update, welches einen Fix für CVE-2015-7384, einen Denial-of-Service (DoS) Bug, bereitstellt.

Alle Benutzer von Node.js v4.x sollten unbedingt auf v4.1.2 upgraden, das es sich um ein sicherheitsrelevantes Update handelt.

Einzelheiten zum Fehler finden Sie in der NodeJS-sec-Gruppe. Abonnieren Sie NodeJS-sec um auch zukünftige Ankündigungen von Sicherheitsupdates zu erhalten.

Hauptänderungen

• http:

  • Fix für nicht funktionierenden ‘finish’ Event in Pipeline, was die Ausführung abbrechen kann. Behebt DoS-Schwachstelle CVE-2015-7384 (Fedor Indutny) # 3128
  • Auswerten von ausstehenden Antwortdaten, anstatt nur die Daten der aktuellen Anfrage auszuwerten. So wird entschieden, ob die Socketverbindung bestehenbleibt oder nicht (Fedor Indutny) # 3128

• libuv: Upgrade von v1.7.4 auf v1.7.5, siehe Release Notes für Details (Saúl Ibarra Corretgé) # 3010

  • Eine bessere rwlock Implementierung für alle Windows-Versionen
  • Verbesserte AIX-Unterstützung

• v8:

  • Upgrade von v4.5.103.33 auf v4.5.103.35 (Ali Ijaz Sheikh) # 3117
  • Backport f782159 von v8 Upstream zur Beschleunigung von Promises (Ben Noordhuis) # 3130
  • Backport c281c15 von v8 Upstream, Hinzufügen der JSTypedArray Länge in die ‘post-mortem-Metadaten’ (Julien Gilli) # 3031

Know Issues

Eine vollständige Liste aller Known Issues können Sie unter https://github.com/nodejs/node/labels/confirmed-bug einsehen.

Danke

Danke an alle, die zu diesem Sicherheits-Update beigetragen haben.

Diese Meldung basiert auf der englischen Originalmeldung vo nodejs.org und kann unter https://nodejs.org/en/blog/release/v4.1.2/ aufgerufen werden.