ACHTUNG Node.js Security-Update 4.1.2


Für Node.js gibt es ein wichtiges Sicherheits-Update, welches einen Fix für CVE-2015-7384, einen Denial-of-Service (DoS) Bug, bereitstellt.

Alle Benutzer von Node.js v4.x sollten unbedingt auf v4.1.2 upgraden, das es sich um ein sicherheitsrelevantes Update handelt.

Einzelheiten zum Fehler finden Sie in der NodeJS-sec-Gruppe. Abonnieren Sie NodeJS-sec um auch zukünftige Ankündigungen von Sicherheitsupdates zu erhalten.

 

Hauptänderungen

  • http:
    • Fix für nicht funktionierenden ‚finish‘ Event in Pipeline, was die Ausführung abbrechen kann. Behebt DoS-Schwachstelle CVE-2015-7384 (Fedor Indutny) # 3128
    • Auswerten von ausstehenden Antwortdaten, anstatt nur die Daten der aktuellen Anfrage auszuwerten. So wird entschieden, ob die Socketverbindung bestehenbleibt oder nicht (Fedor Indutny) # 3128
  • libuv: Upgrade von v1.7.4 auf v1.7.5, siehe Release Notes für Details (Saúl Ibarra Corretgé) # 3010
    • Eine bessere rwlock Implementierung für alle Windows-Versionen
    • Verbesserte AIX-Unterstützung
  • v8:
    • Upgrade von v4.5.103.33 auf v4.5.103.35 (Ali Ijaz Sheikh) # 3117
    • Backport f782159 von v8 Upstream zur Beschleunigung von Promises (Ben Noordhuis) # 3130
    • Backport c281c15 von v8 Upstream, Hinzufügen der  JSTypedArray Länge in die  ‚post-mortem-Metadaten‘  (Julien Gilli) # 3031

Know Issues

Eine vollständige Liste aller Known Issues können Sie unter https://github.com/nodejs/node/labels/confirmed-bug einsehen.

 

Danke

Danke an alle, die zu diesem Sicherheits-Update beigetragen haben.

 

Diese Meldung basiert auf der englischen Originalmeldung vo nodejs.org und kann unter https://nodejs.org/en/blog/release/v4.1.2/ aufgerufen werden.