RDi 9.6 Sicherheitslücke wegen node.js?

**dschroeder** · 04-06-24, 08:57

Guten Morgen,
ich habe eine automatische Nachricht von IBM bezüglich einer Sicherheitslücke in RDi 9.6.x bekommen.

FLASH: Security Bulletin: Multiple vulnerabilities in Node.js affect IBM Rational Developer for i RPG and COBOL + Modernization Tools, Java Edition (CVE-2024-27982, CVE-2024-27983) (2024.05.30)

https://www.ibm.com/support/pages/node/7155351?myns=swgother&mynp=OCSSAE4W&mync=E&cm_sp=s wgother-_-OCSSAE4W-_-E

Wenn ich das alles richtig verstehe, beinhaltet die in Rdi 9.6 verwendete node.js Version eine Sicherheitslücke und man soll auf node.js 18.x updaten.

Hat jemand von euch diese Sicherheitslücke schon geschlossen?

Mir ist z.B. gar nicht klar, wo die bisherige node.js Version installiert sein soll. Installiert man das automatisch mit bei der RDi Installation?

Kann man einfach die neueste node.js Version in das Installationsverzeichnis des RDi installieren? Muss es die Version 18.x sein? (Inzwischen gibt es ja schon node.js 22.x)

Kann jemand von euch etwas zu dem Thema sagen?

Vielen Dank.

Dieter

**Fuerchau** · 04-06-24, 09:22

Und ich dachte immer, Node.js wäre Java-basiert:-).
Eine höherer Version mag da durchaus funktionieren, aber wie immer gilt hier auch, ob es sog. Compatibilitybreaks in Versionen gibt.
Die IBM wird Version 18.x und keine höhere Versionen getestet haben. Da kommt es eben auf einen Versuch an.
Sicherheitslücken spielen meist nur in öffentlichen Systemen eine Rolle. In geschlossenen Umgebungen, auch via VPN-Zugang, habe ich persönlich da noch nie ein Problem gehabt.
Allerdings setzte ich auch bei Virenscannern (incl. Web-Schutz) auch nicht auf den in Windows integrierten Defender. Seit Erfindung der Computerviren hatte ich da noch nie einen, wobei es den 1. bereits 1971 gegeben haben soll. Den ersten PC gab es wohl 1975.

**dschroeder** · 04-06-24, 14:09

Ich habe nochmal genauer gelesen. Die Sicherheitslücke betrifft nur den RDi ... Java Edition. Wir setzen nur die RPG und Cobol Edition ein. Also sind wir nicht betroffen, denke ich.

**Fuerchau** · 04-06-24, 15:38

Pustekuchen. Das hat nichts mit den RPG oder COBOL-Editoren zu tun.
Schau mal in den Taskmanager.
Da gibts eine Java-VM.
Beim Aufklappen sieht man darunter "workspace - Remote System Explorer".

Also die gesamte RDi läuft unter Java, da sie Eclipse-basiert ist und das ist Java Plattform.
Zusätzlich scheint sie dann intern auch noch Node.js zu verwenden.

**dschroeder** · 04-06-24, 16:01

Danke für den Hinweis. Mir ist klar, dass die Eclipse Plattform Java basiert ist. (Ich musste die Java VM schon diverse Male im Taskmanager abschießen). Aber node.js? Ich finde da nichts (auf den ersten Blick) im Installationsverzeichnis.

Außerdem muss man bei der Installation von RDi doch auswählen, welche Programmiersprachen damit editiert werden sollen. RPG und Cobol sind eine gemeinsame Auswahl. Und dann kann man noch Java zusätzlich anklicken, meine ich. Dafür benötigt man aber eine Extra Lizenz. Deshalb meine ich, dass die Java Edition eine Erweiterung der "RPG + Cobol"-Edition ist.

Bin mir aber nicht ganz sicher.

**Fuerchau** · 04-06-24, 16:16

Also für Java benötigt man keine Zusatzlizenz, da nun mal Java Bestandteil von Eclipse ist. Das kann man gar nicht abwählen, sonst könnte man auch keine AddIns schreiben.
Wenn du Java for i meinst, dann könnte es sein um die JVM zu installieren.
Allerdings kannst du ja nicht auf der i entwickeln.

Da es nun auch Node.js for i gibt, braucht man auch Node.js für RDi.
Auch das ist wiederum für die Entwicklung kostenlos, nur die Runtime auf der i ggf. nicht.

Ich verstehe da auch die IBM nicht, die Entwicklung kostenpflichtig zu machen.
Immerhin gibts ja auch kostenlose andere Tools wie Eclipse für Java und Node.js und Visual Studio Code für RPG, COBOL, C/C++, C# u.v.m.
So wird das nix mehr mit der IBM i für die Zunkunft. Da gibts dann ein paar Firmen, die noch selber junge Leute ausbilden, der Rest geht dann auf andere Plattformen.
Man merkts ja auch hier im Forum.

**BenderD** · 04-06-24, 17:29

... node.js hat soviel mit Java zu tun, wie Thommy's mit Holländischer Sauce. node.js ist eine Java Script Laufzeitumgebung.

D*B

**Fuerchau** · 04-06-24, 17:52

Und die braucht man eben auch um Node.js entwickeln zu können.
Wenn das mit Eclipse geht, läuft eben Node.js unter Java.
Visual Studio Code kann das halt auch:
https://code.visualstudio.com/docs/n...odejs-tutorial

**camouflage** · 06-06-24, 16:18

Zitat von Fuerchau

So wird das nix mehr mit der IBM i für die Zunkunft. Da gibts dann ein paar Firmen, die noch selber junge Leute ausbilden, der Rest geht dann auf andere Plattformen.
Man merkts ja auch hier im Forum.

Ich fürchte, es ist bereits zu spät und da hilft auch kein Zauberer mehr ...

Schade um die tolle Maschine, die Fehler wurden schon viel, viel früher seitens IBM gemacht. Jetzt lungern höchstens noch ein paar Zauseln rum ...

**Pikachu** · 06-06-24, 16:58

Man merkt jedenfalls daß sich hier niemand Neues mehr anmelden kann, aber das liegt nicht an IBM…

**Fuerchau** · 06-06-24, 17:07

Ich habe das bereits an Newssolution gemeldet, aber da ist auch niemand mehr zu erreichen.

**holgerscherer** · 07-06-24, 00:09

Zitat von camouflage

Ich fürchte, es ist bereits zu spät und da hilft auch kein Zauberer mehr ...

Schade um die tolle Maschine, die Fehler wurden schon viel, viel früher seitens IBM gemacht. Jetzt lungern höchstens noch ein paar Zauseln rum ...

das sah auf dem CEC2024 in Mailand aber nicht so aus, viel jüngere Leute und alte Hasen.
Nur wenn die alten Hasen sich nicht informieren, dann kommt sowas bei rum.

Thema: RDi 9.6 Sicherheitslücke wegen node.js?

Thread Tools

Bewerten Sie diesen Thema

Display