📰 Informação fresquinha chegando para você!
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O Node.js lançou atualizações para corrigir o que descreveu como um problema crítico de segurança que afeta “praticamente todos os aplicativos Node.js de produção” que, se explorados com sucesso, podem desencadear uma condição de negação de serviço (DoS).
“O Node.js/V8 faz o melhor esforço para se recuperar do esgotamento do espaço de pilha com um erro detectável, no qual as estruturas passaram a confiar para a disponibilidade do serviço”, disseram Matteo Collina e Joyee Cheung do Node.js em um boletim de terça-feira.
"Um bug que só se reproduz quando async_hooks são usados interromperia essa tentativa, fazendo com que o Node.js saísse diretamente com 7, sem gerar um erro capturável quando as recursões no código do usuário esgotassem o espaço da pilha. Isso torna os aplicativos cuja profundidade de recursão é controlada por entradas não higienizadas vulneráveis a ataques de negação de serviço. "
Em sua essência, a deficiência decorre do fato de que o Node.js sai com o código 7 (denotando uma falha em tempo de execução do manipulador de exceção interna) em vez de manipular normalmente a exceção quando ocorre um estouro de pilha no código do usuário enquanto async_hooks está habilitado. Async_hooks é uma API Node.js de baixo nível que permite aos desenvolvedores rastrear o ciclo de vida de recursos assíncronos, como consultas de banco de dados, temporizadores ou solicitações HTTP.
O problema, disse Node.js, afeta vários frameworks e ferramentas de monitoramento de desempenho de aplicativos (APM), incluindo React Server Components, Next.js, Datadog, New Relic, Dynatrace, Elastic APM e OpenTelemetry, devido ao uso de AsyncLocalStorage, um componente construído sobre o módulo async_hooks que torna possível armazenar dados durante toda a vida útil de uma operação assíncrona.
Foi abordado nas seguintes versões -
Node.js 20.20.0 (LTS)
Node.js 22.22.0 (LTS)
Node.js 24.13.0 (LTS)
Node.js 25.3.0 (atual)
O problema também afeta todas as versões do Node.js, desde 8.x, que foi a primeira versão com async_hooks, até 18.x. É importante notar que a versão 8.0.0 do Node.js, codinome Carbon, foi lançada em 30 de maio de 2017. No entanto, essas versões permanecem sem correção porque atingiram o status de fim de vida (EoL).
A correção implementada detecta erros de estouro de pilha e os lança novamente no código do usuário, em vez de tratá-los como fatais. Isso está sendo rastreado sob o identificador CVE CVE-2025-59466 (pontuação CVSS: 7,5). Apesar do impacto prático significativo, o Node.js disse que está tratando a correção apenas como uma atenuação devido a alguns motivos:
O esgotamento do espaço de pilha não faz parte da especificação ECMAScript
O mecanismo JavaScript V8 não trata isso como um problema de segurança
Limitações com o manipulador "uncaughtException", que foi projetado para ser usado como mecanismo de último recurso para tratamento de exceções
“Embora seja uma correção de bug para um comportamento não especificado, optamos por incluí-lo na versão de segurança devido ao seu impacto generalizado no ecossistema”, disse Node.js. "React Server Components, Next.js e praticamente todas as ferramentas APM são afetadas. A correção melhora a experiência do desenvolvedor e torna o tratamento de erros mais previsível."
À luz da gravidade da vulnerabilidade, recomenda-se que os usuários das estruturas/ferramentas e provedores de hospedagem de servidores atualizem o mais rápido possível. Recomenda-se aos mantenedores de bibliotecas e estruturas que apliquem defesas mais robustas para combater o esgotamento do espaço da pilha e garantir a disponibilidade do serviço.
A divulgação ocorre no momento em que o Node.js também lança correções para três outras falhas de alta gravidade (CVE-2025-55131, CVE-2025-55130 e CVE-2025-59465) que podem ser exploradas para obter vazamento ou corrupção de dados, ler arquivos confidenciais usando caminhos de link simbólico relativo (link simbólico) criados e acionar uma negação de serviço remota, respectivamente.
“O Node.js/V8 faz o melhor esforço para se recuperar do esgotamento do espaço de pilha com um erro detectável, no qual as estruturas passaram a confiar para a disponibilidade do serviço”, disseram Matteo Collina e Joyee Cheung do Node.js em um boletim de terça-feira.
"Um bug que só se reproduz quando async_hooks são usados interromperia essa tentativa, fazendo com que o Node.js saísse diretamente com 7, sem gerar um erro capturável quando as recursões no código do usuário esgotassem o espaço da pilha. Isso torna os aplicativos cuja profundidade de recursão é controlada por entradas não higienizadas vulneráveis a ataques de negação de serviço. "
Em sua essência, a deficiência decorre do fato de que o Node.js sai com o código 7 (denotando uma falha em tempo de execução do manipulador de exceção interna) em vez de manipular normalmente a exceção quando ocorre um estouro de pilha no código do usuário enquanto async_hooks está habilitado. Async_hooks é uma API Node.js de baixo nível que permite aos desenvolvedores rastrear o ciclo de vida de recursos assíncronos, como consultas de banco de dados, temporizadores ou solicitações HTTP.
O problema, disse Node.js, afeta vários frameworks e ferramentas de monitoramento de desempenho de aplicativos (APM), incluindo React Server Components, Next.js, Datadog, New Relic, Dynatrace, Elastic APM e OpenTelemetry, devido ao uso de AsyncLocalStorage, um componente construído sobre o módulo async_hooks que torna possível armazenar dados durante toda a vida útil de uma operação assíncrona.
Foi abordado nas seguintes versões -
Node.js 20.20.0 (LTS)
Node.js 22.22.0 (LTS)
Node.js 24.13.0 (LTS)
Node.js 25.3.0 (atual)
O problema também afeta todas as versões do Node.js, desde 8.x, que foi a primeira versão com async_hooks, até 18.x. É importante notar que a versão 8.0.0 do Node.js, codinome Carbon, foi lançada em 30 de maio de 2017. No entanto, essas versões permanecem sem correção porque atingiram o status de fim de vida (EoL).
A correção implementada detecta erros de estouro de pilha e os lança novamente no código do usuário, em vez de tratá-los como fatais. Isso está sendo rastreado sob o identificador CVE CVE-2025-59466 (pontuação CVSS: 7,5). Apesar do impacto prático significativo, o Node.js disse que está tratando a correção apenas como uma atenuação devido a alguns motivos:
O esgotamento do espaço de pilha não faz parte da especificação ECMAScript
O mecanismo JavaScript V8 não trata isso como um problema de segurança
Limitações com o manipulador "uncaughtException", que foi projetado para ser usado como mecanismo de último recurso para tratamento de exceções
“Embora seja uma correção de bug para um comportamento não especificado, optamos por incluí-lo na versão de segurança devido ao seu impacto generalizado no ecossistema”, disse Node.js. "React Server Components, Next.js e praticamente todas as ferramentas APM são afetadas. A correção melhora a experiência do desenvolvedor e torna o tratamento de erros mais previsível."
À luz da gravidade da vulnerabilidade, recomenda-se que os usuários das estruturas/ferramentas e provedores de hospedagem de servidores atualizem o mais rápido possível. Recomenda-se aos mantenedores de bibliotecas e estruturas que apliquem defesas mais robustas para combater o esgotamento do espaço da pilha e garantir a disponibilidade do serviço.
A divulgação ocorre no momento em que o Node.js também lança correções para três outras falhas de alta gravidade (CVE-2025-55131, CVE-2025-55130 e CVE-2025-59465) que podem ser exploradas para obter vazamento ou corrupção de dados, ler arquivos confidenciais usando caminhos de link simbólico relativo (link simbólico) criados e acionar uma negação de serviço remota, respectivamente.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #vulnerabilidade #crítica #do #node.js #pode #causar #falhas #no #servidor #por #meio #de #async_hooks #stack #overflow
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário