Node.js krijgt patch voor beveiligingsprobleem

De ontwikkelaars van het Node.js-platform, dat onder meer voor webservers wordt gebruikt, hebben uit voorzorg een update uitgebracht. Een beveiligingsprobleem in het platform kan tot gevolg hebben dat privégegevens van gebruikers uitlekken.

node.jsDoordat de lengte van een bepaalde string niet goed wordt gecontroleerd, is het in theorie mogelijk om http-headers te spoofen, om zo privégegevens van andere gebruikers te bemachtigen. Er is nog geen proof of concept, maar uit voorzorg is het gat gedicht en is er een beveiligingsupdate uitgebracht.

Het probleem zit in de http-parser van node.js, die zo kan worden gemanipuleerd dat informatie uit andere http-sockets wordt getoond. Daar zouden onder meer privégegevens bij kunnen zitten. Node.js is een platform dat vooral wordt gebruikt met webservers; het platform maakt het mogelijk om met javascript serverside-applicaties te bouwen. Node.js is gebaseerd op de javascript-engine van Google Chrome.

Door Joost Schellevis

Redacteur

Feedback • 08-05-2012 15:29 17

08-05-2012 • 15:29

17

Lees meer

Ontwikkelaars bouwen flac-decoder met javascript
Ontwikkelaars bouwen flac-decoder met javascript Nieuws van 17 juni 2012
Zakelijke webhostingdienst KPN was kwetsbaar voor ernstig PHP-lek
Zakelijke webhostingdienst KPN was kwetsbaar voor ernstig PHP-lek Nieuws van 4 mei 2012
'Patch voor ernstige PHP-bug helpt niet'
'Patch voor ernstige PHP-bug helpt niet' Nieuws van 4 mei 2012
PHP onder cgi is kwetsbaar door ernstige bug
PHP onder cgi is kwetsbaar door ernstige bug Nieuws van 3 mei 2012
Hash collision maakt dos-aanval op webservers mogelijk
Hash collision maakt dos-aanval op webservers mogelijk Nieuws van 29 december 2011
Meer producten en artikelen
Serversoftware Netwerk en systeembeheer Beveiliging Bugs Webserver

Reacties (17)

-Moderatie-faq
17
17
15
2
0
0
Wijzig sortering
Soultaker 8 mei 2012 16:02
Het probleem zit in de http-parser van node.js, die zo kan worden gemanipuleerd dat informatie uit andere http-sockets wordt getoond.
Een "http-socket" bestaat niet echt (HTTP is een application-level protocol, geen transport-level protocol). Waar het om gaat is dat data die voor ene request gebufferd is aan een andere request toegevoegd kan worden. Die data is niet direct bij de attacker beschikbaar, maar zou eventueel wel teruggestuurd kunnen worden (afhankelijk van wat de server precies met de request doet).
Gamemaniak 8 mei 2012 15:35
Geen goede reclame voor Node.js, maar het platform bestaat nog niet zo heel erg lang. Er zijn al vaker security issues geweest met ander platforms dus dit is ook zeker geen uitzondering.
roboreaper @Gamemaniak8 mei 2012 15:37
juist wel goede reclame... ze dichten het lek voordat iemand het kan gebruiken. en ze zijn open over de beveiliging
er is nog geen proof of concept, maar uit voorzorg is het gat gedicht en is er een beveiligingsupdate uitgebracht.
azerty @roboreaper8 mei 2012 16:04
Ik ga hiermee akkoord, het is inderdaad relatief goede publiciteit, het is beter dan het uitlekken van een kwetsbaarheid, en dan nog weken te moeten wachten tot je een patch krijgt die het oplost.
trogdor @roboreaper8 mei 2012 16:20
Dat is geen goede reclame maar gewoon zoals het hoort.
editedredx @Gamemaniak8 mei 2012 15:39
Is toch niks mis mee, zijn niet voor niks nog niet bij versie 1.0
BazB 8 mei 2012 16:27
Jammer dat er niet even in een kort zinnetje beschreven wordt wat node.js is.
Node.js is a platform built on Chrome's JavaScript runtime for easily building fast, scalable network applications. Node.js uses an event-driven, non-blocking I/O model that makes it lightweight and efficient, perfect for data-intensive real-time applications that run across distributed devices.
mokkol 8 mei 2012 16:06
Geweldige software! Gebruik het elke dag! Gebruik zelf versie 4 maar ben nu weer herinnerd dat ik even moet updaten :P
sys64738 Moderator F&V @mokkol8 mei 2012 16:32
Neem aan dat je 0.4 bedoelt.... ze zitten nu bij 0.6.

Mag ik vragen waar je het elke dag voor gebruikt? Het is namelijk vrij nieuw en nog geen proven-technology (niet 1.0 zeg maar) dus welk bedrijf is hier al echt mee bezig?
Tomdevries @sys647388 mei 2012 16:40
Hij kan het natuurlijk elke dag voor zichzelf gebruiken :)

Vooral in de startup scene wordt er wel redelijk veel gebruik gemaakt van nieuwe software als bijvoorbeeld Node.js:

http://www.quora.com/Whic...ing-node-js-in-production
Dreamvoid @Tomdevries8 mei 2012 16:45
Precies, node.js is erg populair bij startups (en andere bedrijven die elk dubbeltje moeten omdraaien) omdat je daardoor je backend kan ontwikkelen met (goedkope) webdevelopers ipv dure Java/.NET experts.

[Reactie gewijzigd door Dreamvoid op 22 juli 2024 22:50]

mokkol @Dreamvoid8 mei 2012 18:39
Jup gebruik het idd bij een startup :) We gebruiken het echter niet vanwege de kosten. Het is gewoon een heel mooi stukje software en vooral heel snel om ermee te ontwikkelen.
chielsen @Dreamvoid8 mei 2012 20:51
Het is vooral omdat de startup de keuze hadden en de gevestigde orde nog geen Node.JS kon kiezen omdat het nog niet beschikbaar was.
De boel helemaal omschrijven doe je natuurlijk niet zo snel.
YopY @Tomdevries8 mei 2012 21:30
Hij kan het natuurlijk elke dag voor zichzelf gebruiken :)
idd; ideaal platform om gewoon tooltjes in te schrijven (vooral dan i/o bound). Heb er zelf een soort van proxy voor tests in gemaakt; indien een HTTP request voldoet aan een bepaalde regex, geef een vast resultaat terug (met soms dynamische data), anders stuurt hij het request (incl. authenticatieheaders e.d.) door naar de echte webservice (van een 3e partij).
curumir @sys647388 mei 2012 16:49
Node.js wordt al veel gebruikt, o.a. namen als Walmart, Linked-in en eBay. Volgens mij waren er nog een paar bekende namen, maar die kan ik me even niet herinneren/vinden. In deze gevallen wordt het geloof ik als back-end voor mobiele apps gebruikt. Dus ondanks dat het nog geen 1.0 versie heeft wordt het echt al gebruikt in serieuze live-omgevingen en is het in die zin al best proven.

Stukje over Linked-in met wat meer info:
http://venturebeat.com/2011/08/16/linkedin-node/
mokkol @curumir8 mei 2012 18:41
Er zijn gewoon aardig wat stable versies. Versienummers zeggen niet zo veel hier denk ik. Het is geen beta toch?
mokkol @sys647388 mei 2012 18:37
Ik bedoelde idd 0.4! Ik gebruik het bij een startup en ik ontwikkel een back-end voor een iPhone/Android applicatie

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq