Node.js, ce framework JavaScript côté serveur a le vent en poupe en ce moment. De plus en plus de grands projets l'adoptent. Le dernier en date étant wordpress.com qui a renoncé à PHP au profit de JavaScript et Node.js pour une meilleure ergonomie des pages du backoffice de la version commerciale du CMS.

En dépit de ses qualités, Node.js n'est pas parfait (mais quelle technologie ou framework l'est ?) et c'est ainsi que deux importantes failles dont une classée grave y ont été découvertes. Les détails techniques sur ces failles ne seront pas révélés avant la mise à jour de Node.js qui sera publiée le 2 décembre prochain.

En ce qui concerne la première vulnérabilité, considérée grave, le bulletin de sécurité mentionne l'existence d'un bug qui permet à un attaquant de mettre Node.js en situation de déni de service. Toutes les versions à partir de Node.js 0.12.x sont vulnérables. Node.js 0.12.x ne l'est pas pour ceux qui utiliseraient encore cette mouture.

La seconde vulnérabilité, moins sensible, est du à l'existence d'un autre bug qui permet à un attaquant de déclencher un dépassement de limite, qui peut éventuellement résulter en une situation de déni de service. Ceci dans le cas où du code JavaScript fourni par un utilisateur serait exécuté dans une application. Pour cette seconde faille, ce sont les version de Node.js à partir de 4.x, y compris LTS Argon qui sont vulnérables. Les versions antérieures ne le sont pas.