Infos

Correctif pour une vulnérabilité DoS dans Node.js

Les développeurs de Note.js ont diffusé une mise à jour critique de l’environnement d’exécution Node.js qui vise à éliminer une vulnérabilité qui pourrait servir à plonger un système dans un état de déni de service.

Cet environnement JavaScript est utilisé sous une forme ou une autre par une multitude de sociétés dont Netflix, PayPal, New York Times, WalMart, GE et LinkedIn. Lancé il y a 5 ans, cet outil développé par Joyent Inc. est utilisé par les sociétés dans le but de construire des API, des applications, des sites mobiles et d’autres éléménts d’infrastructure.

D’après la publication vendredi dans le blog oi.js sur Medium, le problème serait lié à un bogue dans le moteur JavaScript Google V8 et à la manière dont il décode les lignes UTF. Le bogue a un impact sur Node.js et s’il est exploité, il peut provoquer l’arrêt des processus lors de la conversion du tampon en ligne dans le code UTF8.

« Les problèmes de sécurité sont liés au fait que de nombreuses données, externes à l’application, arrivent dans Node via ce mécanisme. Cela signifie que les utilisateurs pourraient faire entrer dans le système des données formulées spécialement qui provoqueraient l’échec de l’application » peut-on lire dans le communiqué.

Ce communiqué signale également que le problème concerne la majorité des opérations impliquant le réseau et le système de fichiers, ainsi que la « majorité des utilisateurs de la conversion du tampon en chaîne UTF8 ».

Trevor Norris, développeur de node.js et io.js, et Kris Reeves, ingénieur chez BBH Media, ont découvert la vulnérabilité et d’après le blog io.js, elle a été éliminée par Fedor Indutny, membre de l’équipe node.js et io.js.

Les développeurs de la mise à jour ont reconnu que le vendredi avant le 4 juillet n’était pas le meilleur moment pour lancer une mise à jour critique, mais la description du bogue et un code d’exploitation potentiel avaient fait leur apparition dans les forums publics, ce qui avait accélérer la diffusion.

« Nous avons préféré donner aux sociétés les outils nécessaires pour se protéger et lutter contre les DoS au lieu de rester assis en croisant les doigts » ont déclaré les développeurs.

Le communiqué indique également que la diffusion de la mise à jour avait été prévue le vendredi à midi, heure du Pacifique, mais le correctif n’avait pas été terminé à l’heure et fut soumis toute la journée à des tests élargis et à un processus de vérification pour V8, io.js et Node.js.

Node.js 0.10 n’est pas touché par le bogue, mais les utilisateurs de la version 0.12 sont invités à télécharger la dernière version (0.12.6) pour éliminer le bogue. io,js, une version distincte de la plateforme JavaScript, qui repose sur Node, a également reçu une mise à jour, versions 2.3 et 1.8.

La correction du bogue dans Google V8 a été diffusée lundi.

Source: Threatpost

Correctif pour une vulnérabilité DoS dans Node.js

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception