Correctif pour une vulnérabilité DoS dans Node.js

Les développeurs de Note.js ont diffusé une mise à jour critique de l’environnement d’exécution Node.js qui vise à éliminer une vulnérabilité qui pourrait servir à plonger un système dans un état de déni de service.

Cet environnement JavaScript est utilisé sous une forme ou une autre par une multitude de sociétés dont Netflix, PayPal, New York Times, WalMart, GE et LinkedIn. Lancé il y a 5 ans, cet outil développé par Joyent Inc. est utilisé par les sociétés dans le but de construire des API, des applications, des sites mobiles et d’autres éléménts d’infrastructure.

D’après la publication vendredi dans le blog oi.js sur Medium, le problème serait lié à un bogue dans le moteur JavaScript Google V8 et à la manière dont il décode les lignes UTF. Le bogue a un impact sur Node.js et s’il est exploité, il peut provoquer l’arrêt des processus lors de la conversion du tampon en ligne dans le code UTF8.

« Les problèmes de sécurité sont liés au fait que de nombreuses données, externes à l’application, arrivent dans Node via ce mécanisme. Cela signifie que les utilisateurs pourraient faire entrer dans le système des données formulées spécialement qui provoqueraient l’échec de l’application » peut-on lire dans le communiqué.

Ce communiqué signale également que le problème concerne la majorité des opérations impliquant le réseau et le système de fichiers, ainsi que la « majorité des utilisateurs de la conversion du tampon en chaîne UTF8 ».

Trevor Norris, développeur de node.js et io.js, et Kris Reeves, ingénieur chez BBH Media, ont découvert la vulnérabilité et d’après le blog io.js, elle a été éliminée par Fedor Indutny, membre de l’équipe node.js et io.js.

Les développeurs de la mise à jour ont reconnu que le vendredi avant le 4 juillet n’était pas le meilleur moment pour lancer une mise à jour critique, mais la description du bogue et un code d’exploitation potentiel avaient fait leur apparition dans les forums publics, ce qui avait accélérer la diffusion.

« Nous avons préféré donner aux sociétés les outils nécessaires pour se protéger et lutter contre les DoS au lieu de rester assis en croisant les doigts » ont déclaré les développeurs.

Le communiqué indique également que la diffusion de la mise à jour avait été prévue le vendredi à midi, heure du Pacifique, mais le correctif n’avait pas été terminé à l’heure et fut soumis toute la journée à des tests élargis et à un processus de vérification pour V8, io.js et Node.js.

Node.js 0.10 n’est pas touché par le bogue, mais les utilisateurs de la version 0.12 sont invités à télécharger la dernière version (0.12.6) pour éliminer le bogue. io,js, une version distincte de la plateforme JavaScript, qui repose sur Node, a également reçu une mise à jour, versions 2.3 et 1.8.

La correction du bogue dans Google V8 a été diffusée lundi.

Source: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *