typescript.news
Node.js März 2026: Sechs Sicherheitspatches Auf Allen Aktiven Branches
Node.jsSicherheitCVETLSHTTPTypeScript

Node.js März 2026: Sechs Sicherheitspatches Auf Allen Aktiven Branches

lschvn5 Min. Lesezeit

Node.js veröffentlichte am 24. März 2026 einen koordinierten Satz von Sicherheitspatches, die sechs CVEs über alle aktiven Release-Linien hinweg abdecken. Wer Node in Produktion betreibt, sollte diese Updates sofort einspielen.

Die Zwei High-Severity-Fixes

CVE-2026-21637 — TLS SNICallback Crash (High)

TLS SNICallback ermöglicht es einem Server, das richtige Zertifikat basierend auf dem Hostname des Clients auszuwählen. Die Schwachstelle: Wenn die SNICallback-Implementierung eine Exception warf, fing Node.js diese nicht ab — der gesamte Prozess stürzte während des TLS-Handshakes ab. Matteo Collina patchte dies, indem er den SNICallback in einen try/catch-Block wrappte.

CVE-2026-21710 — HTTP Header Prototype Pollution (High)

Die headersDistinct- und trailersDistinct-Objekte in Node.js HTTP-Antworten nutzten standardmäßige JavaScript-Prototypen. Das eröffnet einen Prototype-Pollution-Angriffsvektor: Wenn ein Angreifer die Keys dieser Objekte beeinflussen könnte, könnte er Eigenschaften wie __proto__ oder constructor injizieren. Der Fix verwendet einen Null-Prototypen (Object.create(null)), der die Prototypenkette vollständig entfernt.

Vier Weitere Patches

CVE-2026-21713 — Timing-Safe HMAC-Vergleich (Medium) Filip Skokan patchte die Web Cryptography HMAC-Implementierung, um einen timing-safe Vergleich zu verwenden und Seitenkanalangriffe zu verhindern.

CVE-2026-21714 — NGHTTP2 Flow Control (Medium) RafaelGSS korrigierte ein Problem, bei dem nicht behandelte NGHTTP2_ERR_FLOW_CONTROL-Fehler zu Hängern in HTTP/2-Verbindungen führen konnten.

CVE-2026-21717 — Array-Index-Hash-Kollision (Medium) Joyee Cheung aktualisierte die V8-Testsuite, um Hash-Kollisionsangriffe auf Array-Indizes zu erkennen.

CVE-2026-21715 und CVE-2026-21716 — Permission-System-Lücken (Low) Zwei fehlende Berechtigungsprüfungen in realpath.native und fs/promises wurden geschlossen.

Was Zu Tun Ist

Wer eine der betroffenen Versionen betreibt, sollte sofort aktualisieren. Für LTS-Nutzer ist v22.22.2 die empfohlene aktuelle LTS-Linie.

Tägliche TypeScript- und JavaScript-Ökosystem-Berichterstattung auf ts.news.

Häufig gestellte Fragen

Inertia.js 3.0 Überbrückt die Lücke Zwischen SPAs und Serverseitigen Frameworks

Next.js 16.2 Stabilisiert die Adapter-API — und das ist wichtiger als es klingt

Verwandte Artikel

Weitere Berichterstattung zu ähnlichen Themen und Tags.

Stand von TypeScript 2026: GitHubs #1-Sprache, Project Corsa und die Supply-Chain-Rechnung
TypeScript

Stand von TypeScript 2026: GitHubs #1-Sprache, Project Corsa und die Supply-Chain-Rechnung

Ein Rückblick auf die großen Ereignisse, die TypeScripts Position im JavaScript-Ökosystem neu geformt haben — vom Überholen auf GitHub bis zum Go-basierten Compiler-Rewrite mit 10x schnelleren Builds.
Astro 6.1.8 behebt kritischen Netlify-Deploy-Bug und Sicherheitslücke im /_image-Endpoint
TypeScript

Astro 6.1.8 behebt kritischen Netlify-Deploy-Bug und Sicherheitslücke im /_image-Endpoint

Astro 6.1.8 behebt eine Regression, bei der Build-Output-Dateinamen mit Sonderzeichen Deployments auf Netlify und Vercel brach, und patcht ein Content-Type-Confusion-Problem im integrierten Bild-Endpoint, das nicht-SVG-Inhalte als SVG ausliefern konnte.
Nitro v3 Beta Update: Integriertes Tracing, Intelligente Abhängigkeits-Erkennung und Vercel Queues
TypeScript

Nitro v3 Beta Update: Integriertes Tracing, Intelligente Abhängigkeits-Erkennung und Vercel Queues

Das Nitro v3 Beta-Update vom April 2026 bringt experimentelle Tracing-Kanäle, Full-Trace-Abhängigkeitserkennung mit Native-Package-Erkennung, Vercel-Queue-Support und Tencent EdgeOne Pages-Deployment — zusammen mit H3 v2 Sicherheits- und Cookie-Verbesserungen.

Kommentare

Anmelden Melden Sie sich an, um an der Diskussion teilzunehmen.

Noch keine Kommentare. Seien Sie der Erste, der seine Gedanken teilt.