Node 5.7 devra s'adapter à la faille de sécurité d'OpenSSL
La plateforme JavaScript utilise OpenSSL dans plusieurs versions

Le , par vermine, Responsable Jeux-Concours

L'équipe de Node vient d'annoncer la sortie de la révision 5.7.

Cette nouvelle version contient :

  • un argument d'encodage pour les buffers ;
  • une option 'shell' pour spawn() et spawnSync() pour permettre l'exécution de commande dans une invite de commande ;
  • une propriété indiquant si le serveur est à l'écoute de connexion ;
  • de meilleures performances ;
  • etc.


De son côté, l'équipe d'OpenSSL a annoncé une révision importante concernant plusieurs défauts relativement graves au sujet de leur stratégie de sécurité. Node.js utilise OpenSSL (Node.js v0.10 et v0.12 utilisent OpenSSL v1.0.1, tandis que Node.js v4 et v5 utilisent OpenSSL v1.0.2) et risque d'être en partie impacté. L'équipe est en train d'étudier la question et va peut-être sortir une mise à jour dans la semaine.

Cependant, la gravité ne serait pas aussi importante que cela et concerne des cas de configurations particuliers. De plus, les derniers développements de OpenSSL suivent l'évolution de Node.js 5.7.0 qui s'approche de plus en plus de la version 6.0.0. L'équipe pense que plusieurs utilisateurs vont attendre la version 6.0.0 qui sortira fin avril plutôt que d'utiliser les versions 5.x.

Documentation de la version 5.7
Télécharger Node.js

Sources : Article sur le blog de Node et sur InfoWorld.

Et vous ?

Êtes-vous impacté par ces défauts de sécurité ?

Voir aussi

Les cours et tutoriels du JavaScript côté serveur


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de gretro gretro - Membre actif https://www.developpez.com
le 02/03/2016 à 17:53
En même temps, y a-t-il vraiment beaucoup de gens qui utilisent SSL sur Node?

Perso, je laisse Node en http sur un port bâtard et j'installe un nginx en mode proxy inversé qui lui est en HTTP / HTTPS.

Y a-t-il d'autres options sérieuses pour un serveur en production?
Avatar de vermine vermine - Responsable Jeux-Concours https://www.developpez.com
le 09/03/2016 à 14:58
Node : sorties des nouvelles révisions corrigeant les problèmes OpenSSL
pour la plateforme JavaScript


Suite aux problèmes de sécurité rencontrés par l'outil OpenSSL, l'équipe de Node vient d'annoncer la sortie des révisions :

  • 0.10.43 ;
  • 0.12.12 ;
  • 4.3.2 ;
  • 5.7.1.


Pour les révisions 4.3.2 et 5.7.1, c'est la version 1.0.2g de OpenSSL qui est maintenant utilisée. Cela corrige le parsing des clefs DSA qui peut être potentiellement utilisé pour faire des attaques DoS ou de corruption de mémoire. Malgré les termes cités, il faut relativiser car les utilisateurs de Node.js n'étaient quasi pas impactés par ce problème. C'est un peu moins le cas pour les attaques du CacheBleed qui concernent la récupération des clefs privées RSA lorsqu'on utilise les thread sur une micro architecture Intel Sandy Bridge.

Pour les révisions 0.10.43 et 0.12.12, c'est la version 1.0.1s de OpenSSL qui est maintenant utilisée. Version qui corrige les mêmes problèmes. L'équipe Node.js a également supprimer le support de SSLv2 qui favorise les attaques DROWN.

Descriptions officielles : CVE-2016-0705, CVE-2016-0797 et CVE-2016-0702.

Ces révisions comportent également des corrections qui concernent principalement des régressions survenues dans des révisions précédentes.

Télécharger Node.js en version 0.10.43, 0.12.12, 4.3.2 ou 5.7.1.

Source : Articles sur le blog de Node.

Voir aussi

Les cours et tutoriels du JavaScript côté serveur
Avatar de vermine vermine - Responsable Jeux-Concours https://www.developpez.com
le 22/03/2016 à 15:10
Node 5.9 : AppDynamics, New Relic, Opbeat et Sphinx en tant que nouveaux Silver Members
pour la plateforme JavaScript


L'équipe de Node vient d'annoncer la sortie de la révision 5.9.

Cette nouvelle version contient :

  • une correction au niveau de la gestion de la mémoire par les méthodes vm.createContext et vm.runInNewContext ;
  • une meilleure performance pour le moteur V8 lors du traitement des fonctions avec des objets arguments ;
  • la possibilité d'utiliser -i et -e en même temps ;
  • etc.


La Fondation a également annoncé l'arrivée de nouveaux Silver members peu de temps après Apigee, RisingStack et Yahoo!. Cette fois-ci, c'est au tour de AppDynamics, New Relic, Opbeat et Sphinx de rejoindre le bateau.

Parmi eux, beaucoup sont dans l'industrie de la gestion de la performance d'application, des vendeurs aguerris ou émergents. Cet atout permettra à Node.js de répondre à un besoin de stabilité et de performance dans les prochaines générations d'applications. Leur tâche est également de supporter des activités de formation et d'événements comme Node.js Live et Node.js Interactive.

Notons que Node.js a bien grandi l'an dernier avec un total de 3,5 millions d'utilisateurs et devient omniprésent à travers de nombreuses industries allant des services financiers aux sociétés de médias.

Mais au fait, les nouveaux, qui sont-ils ?
  • AppDynamics est la société de intelligence application qui fournit un aperçu en temps réel des performances, de l'expérience utilisateur, etc.
  • New Relic est une société qui fournit des analyses en temps réel et aide les entreprises à surveiller leur logiciel de production de manière sécurisée sur pratiquement n'importe quel environnement sans avoir à construire ou à maintenir une infrastructure dédiée.
  • Opbeat permet de mieux comprendre les performances des nouvelles générations, spécialement conçues pour les développeurs JavaScript.
  • Sphinx avait pour objectif de devenir la principale compagnie utilisant et connaissant Node.js. Ils ont d'ailleurs lancé des communautés de Node.js et Angular.js.


Vous trouverez plus d'informations à ce sujet dans cet article de Node.js.

Documentation de la version 5.9
Télécharger Node.js

Sources : Article sur le blog de Node.

Et vous ?

Que pensez-vous de ces nouvelles entrées ? Connaissez-vous ces sociétés ?

Voir aussi

Les cours et tutoriels pour apprendre le JavaScript côté serveur

 
Contacter le responsable de la rubrique JavaScript