Node.js März 2026: Sechs Sicherheitspatches Auf Allen Aktiven Branches

Node.js März 2026: Sechs Sicherheitspatches Auf Allen Aktiven Branches

lschvn5 Min. Lesezeit

Node.js veröffentlichte am 24. März 2026 einen koordinierten Satz von Sicherheitspatches, die sechs CVEs über alle aktiven Release-Linien hinweg abdecken. Wer Node in Produktion betreibt, sollte diese Updates sofort einspielen.

Die Zwei High-Severity-Fixes

CVE-2026-21637, TLS SNICallback Crash (High)

TLS SNICallback ermöglicht es einem Server, das richtige Zertifikat basierend auf dem Hostname des Clients auszuwählen. Die Schwachstelle: Wenn die SNICallback-Implementierung eine Exception warf, fing Node.js diese nicht ab, der gesamte Prozess stürzte während des TLS-Handshakes ab. Matteo Collina patchte dies, indem er den SNICallback in einen try/catch-Block wrappte.

CVE-2026-21710, HTTP Header Prototype Pollution (High)

Die headersDistinct- und trailersDistinct-Objekte in Node.js HTTP-Antworten nutzten standardmäßige JavaScript-Prototypen. Das eröffnet einen Prototype-Pollution-Angriffsvektor: Wenn ein Angreifer die Keys dieser Objekte beeinflussen könnte, könnte er Eigenschaften wie __proto__ oder constructor injizieren. Der Fix verwendet einen Null-Prototypen (Object.create(null)), der die Prototypenkette vollständig entfernt.

Vier Weitere Patches

CVE-2026-21713, Timing-Safe HMAC-Vergleich (Medium) Filip Skokan patchte die Web Cryptography HMAC-Implementierung, um einen timing-safe Vergleich zu verwenden und Seitenkanalangriffe zu verhindern.

CVE-2026-21714, NGHTTP2 Flow Control (Medium) RafaelGSS korrigierte ein Problem, bei dem nicht behandelte NGHTTP2_ERR_FLOW_CONTROL-Fehler zu Hängern in HTTP/2-Verbindungen führen konnten.

CVE-2026-21717, Array-Index-Hash-Kollision (Medium) Joyee Cheung aktualisierte die V8-Testsuite, um Hash-Kollisionsangriffe auf Array-Indizes zu erkennen.

CVE-2026-21715 und CVE-2026-21716, Permission-System-Lücken (Low) Zwei fehlende Berechtigungsprüfungen in realpath.native und fs/promises wurden geschlossen.

Was Zu Tun Ist

Wer eine der betroffenen Versionen betreibt, sollte sofort aktualisieren. Für LTS-Nutzer ist v22.22.2 die empfohlene aktuelle LTS-Linie.


Tägliche TypeScript- und JavaScript-Ökosystem-Berichterstattung auf ts.news.

Häufig gestellte Fragen

Verwandte Artikel

Weitere Berichterstattung zu ähnlichen Themen und Tags.

Node.js 26.3.0: Buffer-Pool verdoppelt, permission.drop() Methode,macOS Intel-Binary vor dem Aus
security

Node.js 26.3.0: Buffer-Pool verdoppelt, permission.drop() Methode,macOS Intel-Binary vor dem Aus

Node.js 26.3.0 bringt einen standardmäßigen Buffer.poolSize von 64 KiB, die neue Methode permission.drop() zur feingranularen Abgabe von Berechtigungen, eine Warnung zu macOS Universal-Binaries und gehärtetes WebCrypto. npm wird auf 11.16.0 aktualisiert.
Stand von TypeScript 2026: GitHubs #1-Sprache, Project Corsa und die Supply-Chain-Rechnung
security

Stand von TypeScript 2026: GitHubs #1-Sprache, Project Corsa und die Supply-Chain-Rechnung

Ein Rückblick auf die großen Ereignisse, die TypeScripts Position im JavaScript-Ökosystem neu geformt haben, vom Überholen auf GitHub bis zum Go-basierten Compiler-Rewrite mit 10x schnelleren Builds.
Fastify v5.9.0 ergänzt `request.mediaType` und `onMaxParamLength`, härtet das Vertrauen in `forwarded`-Header, chunkiert große HTTP/2-Antworten und migriert die Typ-Tests zu TSTyche
security

Fastify v5.9.0 ergänzt `request.mediaType` und `onMaxParamLength`, härtet das Vertrauen in `forwarded`-Header, chunkiert große HTTP/2-Antworten und migriert die Typ-Tests zu TSTyche

Fastify v5.9.0, veröffentlicht am 2026-06-28 (github.com/fastify/fastify), ist die erste Minor-Version der v5-Linie im Jahr 2026 und ein substanzieller 65-PR-Zyklus. Die Hauptfunktionen sind `request.mediaType` (ein typisierter Accessor für den ausgehandelten Medientyp, [#6653](https://github.com/fastify/fastify/pull/6653) von climba03003), die Routen-Option `onMaxParamLength` ([#6716](https://github.com/fastify/fastify/pull/6716) von climba03003) und ein Sicherheitsfix, das `X-Forwarded-Host` und `X-Forwarded-Proto` nicht mehr vertraut, wenn der eingehende Socket fehlt ([#6684](https://github.com/fastify/fastify/pull/6684) von mcollina). Der Zyklus liefert einen HTTP/2-Buffer-Chunking-Fix für große Antworten ([#6746](https://github.com/fastify/fastify/pull/6746) von mcollina), drei schema-bezogene Performance-Gewinne (verzögertes `getSchemaSerializer`-Content-Type-Parsing #6692, gecachte `ContentType`-Objekte im `ContentTypeParser` #6694, `typeof`-Wache vor `toString.call` in `send` / `onSendEnd` #6693 von aquie00t), Node.js 26 zur Test-Matrix hinzugefügt ([#6728](https://github.com/fastify/fastify/pull/6728) von Fdawgs) und Node.js 20 aus der yarn-CI-Matrix entfernt ([#6662](https://github.com/fastify/fastify/pull/6662) von Tony133), die Migration der Typ-Test-Suite von handgeschriebenen `expect-type`-Assertions zu [TSTyche](https://github.com/mrazauskas/tstyche) ([#6532](https://github.com/fastify/fastify/pull/6532) von mrazauskas, mit Folge-PRs #6726 und #6727), und ein TypeScript-only fastify-plugin v6.0.0-Bump. Weitere bemerkenswerte Fixes: Trailer-`res.end`-Deduplizierung (#6676), Trailer-Duplikat-Completion-Wache (#6714), `error.code` auf Routing-Fehlern (#6678), `hasRequestDecorator` / `hasReplyDecorator` erkennen konstruktor-zugewiesene Built-in-Eigenschaften (#6753), `getValidationFunction()` darf `undefined` zurückgeben (#6665), und ein Socket-`_meta`-Clear, der ein Keep-Alive-Leck schließt (#6799).

Kommentare

Anmelden Melden Sie sich an, um an der Diskussion teilzunehmen.

Noch keine Kommentare. Seien Sie der Erste, der seine Gedanken teilt.