Node.js güncellemeleri yüksek riskli güvenlik açıklarını giderir

kapanış bildirimi

Bu makale İngilizce olarak da mevcuttur. Teknik yardımla tercüme edildi ve yayınlanmadan önce editoryal olarak gözden geçirildi.

.

Popüler JavaScript çalışma zamanı ortamı Node.js'de, bazıları yüksek riskli olarak sınıflandırılan çeşitli güvenlik kusurları keşfedildi. Aralık ayı ortasında duyurulan ve güvenlik açıklarını gideren güncellenmiş sürümler yayınlandı. Geliştiriciler, hata giderilen sürümlerin zamanında kullanılmasını sağlamalıdır.

Duyurudan sonra devamını okuyun

Bu hafta Salı günü yapılan duyuruda Node.js geliştiricileri, güncellemelerin üç yüksek riskli güvenlik açığını, dört orta riskli güvenlik açığını ve bir düşük riskli güvenlik açığını kapattığını yazdı. CERT-Bund'un özetlediği gibi, saldırganlar, eklenen kötü amaçlı kodu yürütmek, haklarını genişletmek, güvenlik önlemlerini atlamak, verileri değiştirmek veya gizli bilgilere erişmek için bunu kötüye kullanabilir. Ek olarak, güvenlik sürümleri, genel olarak bilinen güvenlik açıklarını gidermek için güncellenmiş bağımlılıklar içerir; yani 1.34.6 sürümündeki c-ares ve 6.23.0 ve 7.18.0 sürümlerindeki onbir.

Yüksek riskli güvenlik açığı

Arabellek tahsisine yönelik program mantığında, “vm” modülü bir zaman aşımı ile kullanıldığında ve hafıza tahsisi kesildiğinde başlatılmamış hafıza açığa çıkabilir (CVE-2025-55131, CVSS) 8.1risk”yüksek“).Seçeneklerle ilgili kısıtlamalar --allow-fs-read VE --allow-fs-write ayrıca göreceli sembolik bağlantı yolları oluşturularak da atlatılabilir (CVE-2025-55130, CVSS) 7.7risk”yüksek“). Büyük boyutlu ve geçersiz “HPACK” verileriyle oluşturulan bir “HTTP/2 HEADERS” çerçevesi, Node.js'nin çökmesine neden olarak hizmet reddine neden olabilir (CVE-2025-59465, CVSS) 7.5risk”yüksek“).

İlgili taraflar, orta şiddetli ve düşük riskli güvenlik açıklarına ilişkin ayrıntıları Node.js geliştiricilerinin duyurusunda bulabilirler. Bu güvenlik açıkları artık Node.js'nin 25.3.0, 24.13.0, 22.22.0, 20.20.0 ve sonraki sürümlerinde mevcut değildir. Kullanıcılar güncellemeleri derhal yapmalıdır.

Geçen Eylül ayında, bir kripto para hırsızı, hedef odaklı kimlik avı saldırısı kullanarak bir geliştiricinin npm hesabına (npm, Node.js paketlerinin paket yöneticisidir) erişim sağladı. Saldırgan, geliştirici qix'in yaklaşık 20 paketine kötü amaçlı kod eklemeyi başardı ve bunların toplamı haftalık iki milyardan fazla indirmeye tekabül ediyor.

Ayrıca bakınız:

Duyurudan sonra devamını okuyun

  • Node.js: Haber'den hızlı ve güvenli bir şekilde indirin



(Bilmiyorum)

Yayımlandı

kategorisi

yazarı:

admin

Etiketler:

Yorumlar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir