NEWS
NodeRed fkt. nicht nach Node.js Update auf 18.20.2
-
@surfer09 Spannend, weil 18.20.2 genau da eine "Sicherheitslücke" unter Windows geschlossen hat: https://nodejs.org/en/blog/vulnerability/april-2024-security-releases-2/
Command injection via args parameter of child_process.spawn without shell option enabled on Windows (CVE-2024-27980) - (HIGH)
Und genau diese Funktionen (
process.spawn
) werden genutzt um den Node-RED Prozess zu starten. Scheinbar muss man irgendwelche Flags setzen, um Prozesse starten zu dürfen (?). Müsste ich mir in Ruhe anschauen, aber mir fehlt dazu gerade etwas die Zeit.Am besten auf GitHub melden.
Hier ist der Commit in node dazu: https://github.com/nodejs/node/commit/6627222409
-
@haus-automatisierung So ein Mist, und ich tappe da auch noch in die Falle... Hoffentlich gibt's da schnelle Hilfe zu.
-
@surfer09 Ich bin momentan etwas ratlos, was da falsch sein könnte. Wie ich es verstanden habe, dürfen nur keine batch-Dateien direkt gestartet werden (?) Und das passiert hier ja nicht:
-
@haus-automatisierung Ich habe auf Github mal ein Issue erstellt. Habe ich zwar noch nicht so oft gemacht, ich hoffe man kann damit etwas anfangen :-).
-
@surfer09 Wo denn? Gehört hier hin: https://github.com/ioBroker/ioBroker.node-red/issues
Aber eventuell ist das auch ein Bug von Node-Red. Laut Stack crasht das hier:
Das Problem ist, dass der Befehl hier unter Windows mit
.cmd
endet: -
Liegt also nicht an ioBroker, sondern an Node-RED. Habe hier reported:
-
Ob wohl heute noch ein Update kommt? Scheinbar wird ja schon dran gearbeitet..
-
@surfer09 Ja. Fixed in Node-RED 3.1.9
-
@haus-automatisierung Nochmal eine blöde Frage... Der Adapter für den IOBroker bekommt jetzt auch noch ein Update? Da bin ich auf Version 5.2.0. Wie bekomme ich denn da jetzt die aktuellste Version?
-
@surfer09 Hallo, besteht das Problem noch? Oder läuft wieder alles?
-
@surfer09 Bei mir kam das Problem auf durch den Wechsel von node 18.20.1 nach 18.20.2. Habe einfach wieder nach 18.19.0 gewechselt - weil da alles noch bestens lief - und gut wars. Wenn eine Umgebung 365x24 laufen muss, ist einfach wichtig, was hilft, nicht wer Schuld war - das kommt, wenn wieder alles läuft
-
@hk30 sagte in NodeRed fkt. nicht nach Node.js Update auf 18.20.2:
und gut wars
nicht unbedingt!
18.20.2 enthält einen Sicherheitspatch -
@hk30 Und damit reißt du dir die mit den Versionen 18.20.x beseitigten Sicherheitslücken wieder auf.
Also keine clevere Idee.
node-red 3.1.9 ist ja wohl wieder kompatibel mit aktuellem nodejs. Also musst du das UPDATEN und nicht nodejs kaputt machen.
Kommt ganz easy auf ein aktuelles System:echad@chet:/opt/iobroker $ npm ls node-red iobroker.inst@3.0.0 /opt/iobroker `-- iobroker.node-red@5.2.0 `-- node-red@3.1.9 echad@chet:/opt/iobroker $
-
@thomas-braun schon klar. Ein patch hilft (fast) immer. Und was war vor oder bis zum patch? Stillstand tut eben mehr weh. Weiss man vielleicht nicht auf Bastellösungen.
-
@thomas-braun ich bin in letzter Zeit seh vorsichtig geworden mit der patcherei. Diesmal hab ich ziemlich sicher gewusst, welcher "patch" es wieder mal war. Jetzt gilt: Solange es läuft - alles gut. Man kennt ja den Spruch: Never touch a running system. Und wenn man seine Umgebung in Richtung Inet nicht zu offen oder sogar geschlossen hat, gibt es wenig Sicherheitslücken.
-
@hk30 sagte in NodeRed fkt. nicht nach Node.js Update auf 18.20.2:
Weiss man vielleicht nicht auf Bastellösungen.
Du meinst deine verbastelte, mit Sicherheitslücken versehene Frickelbude? Dann weißt du ja jetzt wie es besser geht.
Downgrades sind nie eine gute Idee, aktuelle stabile Versionen sind für ein stabiles System zu verwenden. -
@hk30 sagte in NodeRed fkt. nicht nach Node.js Update auf 18.20.2:
Man kennt ja den Spruch: Never touch a running system.
Eine der schlimmsten und dümmsten Aussagen ever und gerade aktuell hier in der letzten Zeit immer wieder aufs Neue sinnlos proklamiert und vorgelebt. Geheult wird dann aber immer und um Hilfe gebettelt, wenn das System zu alt und völlig versumpft ist für weitere Updates.
-
@hk30 sagte in NodeRed fkt. nicht nach Node.js Update auf 18.20.2:
Man kennt ja den Spruch: Never touch a running system.
Und genau der Spruch ist der Oberschwachsinn schlechthin.
-
@thomas-braun also hilfe gibts hier scheinbar nicht, nur dumme sprüche - ich wollte surfer09 helfen - mit meiner Lösung. Von den schlauen Leuten hier gab es keine Hilfe - ausser starken Sprüchen - kann man sich also schenken. Viel Spass ihr sicheren Bastler
-
@hk30 sagte in NodeRed fkt. nicht nach Node.js Update auf 18.20.2:
Von den schlauen Leuten hier gab es keine Hilfe - ausser starken Sprüchen - kann man sich also schenken.
Ja. Und von dir kommt nur der 'Never-tatsch-a-running'-Süstäm-Dummfug.
Das kann und muss man sich schenken, wenn man auf ein stabil laufendes System so dringend angewiesen ist. Die Kisten müssen gepflegt werden und nicht mit alten und mit Lücken behafteten Versionen rumpeln gelassen werden.Ich hab hier vermutlich mehr und öfter geholfen so versumpfte Kisten wieder ans laufen zu bekommen als hk30 mit dem NTARS-Mumpitz.