typescript.news
Node.js März 2026: Sechs Sicherheitspatches Auf Allen Aktiven Branches
Node.jsSicherheitCVETLSHTTPTypeScript

Node.js März 2026: Sechs Sicherheitspatches Auf Allen Aktiven Branches

lschvn5 Min. Lesezeit

Node.js veröffentlichte am 24. März 2026 einen koordinierten Satz von Sicherheitspatches, die sechs CVEs über alle aktiven Release-Linien hinweg abdecken. Wer Node in Produktion betreibt, sollte diese Updates sofort einspielen.

Die Zwei High-Severity-Fixes

CVE-2026-21637 — TLS SNICallback Crash (High)

TLS SNICallback ermöglicht es einem Server, das richtige Zertifikat basierend auf dem Hostname des Clients auszuwählen. Die Schwachstelle: Wenn die SNICallback-Implementierung eine Exception warf, fing Node.js diese nicht ab — der gesamte Prozess stürzte während des TLS-Handshakes ab. Matteo Collina patchte dies, indem er den SNICallback in einen try/catch-Block wrappte.

CVE-2026-21710 — HTTP Header Prototype Pollution (High)

Die headersDistinct- und trailersDistinct-Objekte in Node.js HTTP-Antworten nutzten standardmäßige JavaScript-Prototypen. Das eröffnet einen Prototype-Pollution-Angriffsvektor: Wenn ein Angreifer die Keys dieser Objekte beeinflussen könnte, könnte er Eigenschaften wie __proto__ oder constructor injizieren. Der Fix verwendet einen Null-Prototypen (Object.create(null)), der die Prototypenkette vollständig entfernt.

Vier Weitere Patches

CVE-2026-21713 — Timing-Safe HMAC-Vergleich (Medium) Filip Skokan patchte die Web Cryptography HMAC-Implementierung, um einen timing-safe Vergleich zu verwenden und Seitenkanalangriffe zu verhindern.

CVE-2026-21714 — NGHTTP2 Flow Control (Medium) RafaelGSS korrigierte ein Problem, bei dem nicht behandelte NGHTTP2_ERR_FLOW_CONTROL-Fehler zu Hängern in HTTP/2-Verbindungen führen konnten.

CVE-2026-21717 — Array-Index-Hash-Kollision (Medium) Joyee Cheung aktualisierte die V8-Testsuite, um Hash-Kollisionsangriffe auf Array-Indizes zu erkennen.

CVE-2026-21715 und CVE-2026-21716 — Permission-System-Lücken (Low) Zwei fehlende Berechtigungsprüfungen in realpath.native und fs/promises wurden geschlossen.

Was Zu Tun Ist

Wer eine der betroffenen Versionen betreibt, sollte sofort aktualisieren. Für LTS-Nutzer ist v22.22.2 die empfohlene aktuelle LTS-Linie.

Tägliche TypeScript- und JavaScript-Ökosystem-Berichterstattung auf ts.news.

Häufig gestellte Fragen

Inertia.js 3.0 Überbrückt die Lücke Zwischen SPAs und Serverseitigen Frameworks

Next.js 16.2 Stabilisiert die Adapter-API — und das ist wichtiger als es klingt

Verwandte Artikel

Weitere Berichterstattung zu ähnlichen Themen und Tags.

Inertia.js 3.0 Überbrückt die Lücke Zwischen SPAs und Serverseitigen Frameworks
TypeScript

Inertia.js 3.0 Überbrückt die Lücke Zwischen SPAs und Serverseitigen Frameworks

Inertia.js 3.0 unterstützt React, Vue und Svelte SPAs mit Laravel, Rails oder Django als Backend — ohne API-Schicht. Hier ist, was sich im 'Modern Monolith'-Ansatz für Webentwicklung geändert hat.
JetBrains Öffnet die Tore: JavaScript und TypeScript ab jetzt kostenlos in IntelliJ IDEA
TypeScript

JetBrains Öffnet die Tore: JavaScript und TypeScript ab jetzt kostenlos in IntelliJ IDEA

Seit März 2026 enthält IntelliJ IDEA v2026.1 JavaScript, TypeScript, HTML, CSS und grundlegendes React kostenlos — Features, die zuvor ein kostenpflichtiges Ultimate-Abonnement erforderten. Haken: Angular, Vue und erweitertes Debugging bleiben Ultimate-exklusiv.

Kommentare

Anmelden Melden Sie sich an, um an der Diskussion teilzunehmen.

Noch keine Kommentare. Seien Sie der Erste, der seine Gedanken teilt.