Node.JS DoS möglich...

MartinP

Ich hoffe aber, niemand wird seine VIS Views irgendwie offen im Internet zur Schau stellen:

https://www.golem.de/news/continuation-flood-dos-angriffstechnik-legt-http-2-server-ohne-botnetz-lahm-2404-183857.html

Ermöglicht wird der Angriff demnach durch eine fehlerhafte Behandlung von Headers- und Continuation-Frames. "Das Ergebnis hängt von der Implementierung ab, reicht aber von einem sofortigen Absturz nach dem Senden einiger HTTP/2-Frames über einen OOM-Crash (Out of Memory) bis hin zur vollständigen Auslastung der CPU, was die Verfügbarkeit des Servers beeinträchtigt", erklärt Nowotarski.

https://kb.cert.org/vuls/id/421644

Node.js Unknown
Notified: 2024-02-14 Updated: 2024-04-03

CVE-2023-45288 Unknown
CVE-2024-2653 Unknown
CVE-2024-27316 Unknown
CVE-2024-2758 Unknown
CVE-2024-27919 Unknown
CVE-2024-27983 Unknown
CVE-2024-28182 Unknown
CVE-2024-30255 Unknown
CVE-2024-31309 Unknown

Thomas Braun

@martinp

Und für die 'Never-tatsch-a-running-Süstäm'-Jünger:

https://nodejs.org/en/blog/vulnerability/april-2024-security-releases/

Haltet die Kiste auf STAND. Gilt insbesondere für abgekündigte Versionen.
Nodejs@16 hat die Lücke mit Sicherheit auch. Kümmert sich nur niemand drum, da offiziell bereits beerdigt.
Wird aber von knapp 13000 ioBroker-Installationen noch verwendet...

MartinP

@thomas-braun Gerade 18.20.1 als Update angeboten bekommen.

Darin wurde 27983 gefixt

Thomas Braun

@martinp sagte in Node.JS DoS möglich...:

Darin wurde 27983 gefixt

Ja, deswegen hatte ich das verlinkt.
Und hier der (vermutliche) Nachklapp dazu:

https://nodejs.org/en/blog/vulnerability/april-2024-security-releases-2

Also am 09. April geht es weiter mit Updates.