Sicherheitslücke node.js

noxx

ja, hatte ich auch schon probiert.

pi@raspberrypi:~ $ sudo apt-get install nodejs
Paketlisten werden gelesen... Fertig
Abhängigkeitsbaum wird aufgebaut.
Statusinformationen werden eingelesen.... Fertig
E: Paket nodejs kann nicht gefunden werden.

pi@raspberrypi:~ $ sudo apt install nodejs
Paketlisten werden gelesen... Fertig
Abhängigkeitsbaum wird aufgebaut.
Statusinformationen werden eingelesen.... Fertig
E: Paket nodejs kann nicht gefunden werden.
pi@raspberrypi:~ $

geht nun anscheinend

sudo apt install nodejs

sudo apt update

hat gefehlt

mache eigentlich alle per apt-get

EDIT

Doch nicht

! pi@raspberrypi:~ $ sudo apt install nodejs Paketlisten werden gelesen... Fertig Abhängigkeitsbaum wird aufgebaut. Statusinformationen werden eingelesen.... Fertig Die folgenden zusätzlichen Pakete werden installiert: libc-ares2 libv8-3.14.5 Die folgenden NEUEN Pakete werden installiert: libc-ares2 libv8-3.14.5 nodejs 0 aktualisiert, 3 neu installiert, 0 zu entfernen und 0 nicht aktualisiert. Es müssen 1.768 kB an Archiven heruntergeladen werden. Nach dieser Operation werden 6.431 kB Plattenplatz zusätzlich benutzt. Möchten Sie fortfahren? [J/n] j Holen: 1 http://mirrordirector.raspbian.org/raspbian/ jessie/main libc-ares2 armhf 1.10.0-2+deb8u1 [66,6 kB] Holen: 2 http://mirrordirector.raspbian.org/raspbian/ jessie/main libv8-3.14.5 armhf 3.14.5.8-8.1+rpi1 [1.088 kB] Holen: 3 http://mirrordirector.raspbian.org/raspbian/ jessie/main nodejs armhf 0.10.29~dfsg-2 [614 kB] Es wurden 1.768 kB in 1 s geholt (1.177 kB/s). Vormals nicht ausgewähltes Paket libc-ares2:armhf wird gewählt. (Lese Datenbank ... 38902 Dateien und Verzeichnisse sind derzeit installiert.) Vorbereitung zum Entpacken von .../libc-ares2_1.10.0-2+deb8u1_armhf.deb ... Entpacken von libc-ares2:armhf (1.10.0-2+deb8u1) ... Vormals nicht ausgewähltes Paket libv8-3.14.5 wird gewählt. Vorbereitung zum Entpacken von .../libv8-3.14.5_3.14.5.8-8.1+rpi1_armhf.deb ... Entpacken von libv8-3.14.5 (3.14.5.8-8.1+rpi1) ... Vormals nicht ausgewähltes Paket nodejs wird gewählt. Vorbereitung zum Entpacken von .../nodejs_0.10.29~dfsg-2_armhf.deb ... Entpacken von nodejs (0.10.29~dfsg-2) ... Trigger für man-db (2.7.5-1~bpo8+1) werden verarbeitet ... libc-ares2:armhf (1.10.0-2+deb8u1) wird eingerichtet ... libv8-3.14.5 (3.14.5.8-8.1+rpi1) wird eingerichtet ... nodejs (0.10.29~dfsg-2) wird eingerichtet ... update-alternatives: /usr/bin/nodejs wird verwendet, um /usr/bin/js (js) im automatischen Modus bereitzustellen Trigger für libc-bin (2.19-18+deb8u10) werden verarbeitet ... pi@raspberrypi:~ $ node -v v4.6.2 !

EDIT:

Neu installiert

pi@raspberrypi:~ $ node -v
v6.11.1

frankjoke

Wer regelmäßig

sudo apt-get -y update
sudo apt-get -y upgrade

macht, und falls updates installiert wurden auch einen re-start, sollte kein Problem haben da alle updates (auch für andere tools und Treiber) eingespielt werden.

arteck

übrigens "apt" ist das neue grafische apt-get..mehr oder minder

dtp

Hat jemand einen Tipp für mich?

Ich habe aktuell node.js v4.8.3 installiert. Wenn ich die Version 6.11 mit

curl -sL https://deb.nodesource.com/setup_6.x | sudo -E bash -

herunter lade und es anschließend mit

sudo apt-get install nodejs

installiere, erhalte ich immer die Meldung, dass ich bereits die neueste Version installiert habe. Mit

node -v

erhalte ich aber trotzdem immer "v4.8.3" angezeigt.

Wie kann ich auf die aktuelle Version oder zumindest auf Version 4.8.4 updaten?

EDIT: Bin jetzt nach https://stackoverflow.com/questions/11177954/how-do-i-completely-uninstall-node-js-and-reinstall-from-beginning-mac-os-x vorgegangen und hab alles zur bestehenden node.js-Version gelöscht. Nun wird mir v6.11.1 angezeigt.

Gruß,

Thorsten

Homoran

@dtp:

Wie kann ich auf die aktuelle Version oder zumindest auf Version 4.8.4 updaten? `

entweder ganz normal über````
sudo apt-get update && apt-get upgrade

oder gemäß der Doku:
~~@[url=http://www.iobroker.net/docu/?page_id=5106⟨=de#Installation_Nodejs:~~ 

> ~~Doku"]~~Die alten node & node.js Versionen deinstallieren …
> 
> apt-get --purge remove node
> 
> apt-get --purge remove nodejs
> 
> apt-get autoremove
> 
> reboot `  

Gruß

Rainer

dtp

Hallo Rainer,

danke für die Info. Hab's jetzt mit etwas Google-Recherche auch hinbekommen (siehe mein Edit oben).

Gruß,

Thorsten

paul53

Ich benutze zum node update das https://github.com/tj/n.

Falls noch nicht installiert:

sudo npm cache clean -f
sudo npm install -g n

Dann die neue Version installieren:

sudo n 6.11.1

oder

sudo n lts

node - v lieferte die Version 6.11.1. Da diese aber unter /usr/local/bin installiert wurde, hat ioBroker noch auf die alte Version zugegriffen, denn ioBroker erwartet node im Verzeichnis /usr/bin. Deshalb habe ich den Link /usr/bin/node noch auf /usr/local/bin/node umgebogen. Das installierte Original liegt im Verzeichnis /usr/local/n/versions/node/6.11.1/bin.

metaxa

@paul53:

node - v lieferte die Version 6.11.1. Da diese aber unter /usr/local/bin installiert wurde, hat ioBroker noch auf die alte Version zugegriffen, denn ioBroker erwartet node im Verzeichnis /usr/bin. Deshalb habe ich den Link /usr/bin/node noch auf /usr/local/bin/node umgebogen. Das installierte Original liegt im Verzeichnis /usr/local/n/versions/node/6.11.1/bin. `
Könnte mir bitte jemand kurz erklären wie ich "umbiegen" mache?

LG, mxa

paul53

@metaxa:

Könnte mir bitte jemand kurz erklären wie ich "umbiegen" mache? `
WinSCP: Wenn im Verzeichnis (/usr/bin) node schon als Link existiert, dann mit rechter Maustaste über node "Bearbeite Verknüpfung" auswählen
filename="Verknüpfung_bearbeiten.JPG" index="1">~~.

Falls node als ausführbare Datei vorhanden ist, dann Löschen und anschließend Verknüpfung hinzufügen
filename="Verknüpfung_erstellen.JPG" index="0">~~

metaxa

Lieben Dank, das half (bei mir)!

htrecksler

@Jeeper.at:

Alles klar, ich habe das reinstall.sh nicht als Windows Befehl gesehen.

Dann werde ich das mal testen. `
Moin Windows Exot

Wie hast Du es gelöst (falls du es gelöst hast)?

reinstall.sh ist ja nur unter Linux verfügbar.

Jeeper.at

Nein nicht gelöst. Keine Ahnung wann ich dazukomme mir das anzusehen.

Lg

Günther

Thisoft

Zum Thema Windows und Exot sag ich jetzt nur mal Vorsicht ! von wegen Statistiken usw… Ich bin auch so einer 8-)

Die Installation der neuen Node.js-Version war an sich nicht weiter schwierig.

-zuerst alte Version normal über die Systemsteuerung deinstallieren! Wichtig! Ich hatte das auf einer Maschine vergessen. Hat zwar trotzdem funktioniert, gab aber dann nicht ganz schlüssige Informationen welche Version denn nun wirklich läuft.

-Reboot kann nicht schaden

-wie weiter vorn geschrieben > Unter Windows auf [https://nodejs.org/en/download/](https://nodejs.org/en/download/) und die letzte (LTS) =6er-Version laden/installieren!

Homoran

Ich habe noch nie auf Windows instaliert, aber die Vorgehensweise, die Thilo beschreibt ist auch bei Linux wichtig.

Es kommt immer wieder vor, dass zwei Nodejs-Versionen installiert sind, was zu Problemen führt.

@Thisoft:

von wegen Statistiken usw… Ich bin auch so einer `
einer von 1532. Das hätte ich allerdings auch nicht gedacht:

http://download.iobroker.net/stat.html

Gruß

Rainer

Thisoft

Macht der Installer offensichtlich - bei mir jedenfalls…

paul53

@Homoran

bevor Du dich über den Rock64 hermachst, würde ich es im Interesse der Neueinsteiger begrüßen, wenn Du wegen der Sicherheitslücke ein Image für die meist verwendete Hardware (Raspberry Pi 2/3) mit minimaler Installation bereit stellst. Mein Vorschlag:

Raspbian lite, ssh enabled

build-essential

node LTS (6.11.2)

n

redis

js-controller 1.1.2

admin 2.0.2

evtl. noch rpi2 0.3.1, damit man schon mal ein paar Datenpunkte hat .

Die restlichen Adapter lassen sich je nach Bedarf über die Admin-Oberfläche installieren und man kann entscheiden, ob man eine stabile oder die aktuellste Version haben möchte.

Homoran

Hallo Paul,

Neue Images stehen bei mir sowieso auf der ToDo Liste.

Habe noch 1 Woche Urlaub, ich denke, da geht das (notfalls parallel zum Rock64 :lol: , der ist heute auch bei mir eingetroffen), wenn das Wetter die Gartenarbeit torpediert.

Raspi 2/3 steht ganz vorne, hoffentlich spuckt mir das neue Raspbian Stretch nicht in die Suppe.

Debian Stretch läuft seit Monaten stabil auf dem NUC.

Was die Sicherheitslücke betrifft, ist die aber nur von Bedeutung wenn der RasPi im Internet zugänglich ist.

Gruß

Rainer

paul53

@Homoran:

parallel zum Rock64, der ist heute auch bei mir eingetroffen `
Als hätte ich es geahnt :lol:
@Homoran:

Was die Sicherheitslücke betrifft, ist die aber nur von Bedeutung wenn der RasPi im Internet zugänglich ist. `
Meinst Du, dass alle Nutzer per VPN-Tunnel von Außen auf ioBroker (VIS) zugreifen ?

Homoran

@paul53:

Meinst Du, dass alle Nutzer per VPN-Tunnel von Außen auf ioBroker (VIS) zugreifen ? `
Ich befürchte da immer wiefer einiges, aber wenn nicht vpn, dann hoffe ich, dass sie die ioBroker Cloud nutzen.

Ich mach's ja!

Aber glaubst DU, dass ein neues Image denen hilft, die bereits das alte drauf haben

…aber muss ja nicht neue User mit alter Vetsion geben.

Gruß

Rainer