所有安全问题均已修补 - 立即更新
Node.js维护者已在JavaScript运行时环境中发布了多个修复程序,以导致任意代码执行和HTTP请求走私等攻击。
在咨询昨晚发布(7月7日),已发布了七个现已发现的错误的详细信息,其中包括三个独立的HTTP请求走私漏洞。
阅读更多有关安全漏洞的最新新闻
这三个漏洞 - 转移编码错误的有缺陷的解析,被跟踪为CVE-2022-32213;标题字段问题的划界不当,被跟踪为CVE-2022-32214;以及以CVE-2022-32215跟踪的多行传输编码错误的错误解析可能会导致HTTP请求走私。
这些错误都被评为中等严重性,影响了18.x,16.x和14.x版本的所有版本。llhttpv6.0.7和llhttp v2.1.5包含在node.js中更新的修复程序。
其他问题
该咨询还包含DNS重构漏洞的细节- 检查通过无效的IP地址。
咨询警告说,该错误(CVE-2022-32212)被评为高度严重性,可以任意执行任意代码。
“这isallowedhost检查很容易被绕过,因为isipaddress无法正确检查IP地址是否无效。
“当提供无效的IPv4地址时,浏览器将向DNS服务器提出DNS请求,为攻击者控制的DNS服务器或MITM提供矢量,或者可以欺骗DNS响应以执行重新启动攻击并将其连接到Websocket debugger,从而允许使用,从beplay体育能用吗执行任意代码。这是CVE-2021-22884的旁路,”该帖子写道。漏洞会影响18.x,16.x和14.x的所有版本均释放线条。
该咨询还详细介绍了Windows上的DLL劫持漏洞(CVE-2022-32223)和CVE-2022-32222,这是一个中等严重的错误,可以允许攻击者尝试从Openssl.cnf中读取openssl.cnf/home/iojs/build/在系统启动时。
最后,该版本还包含openssl中漏洞的修复先前报道经过每日swbeplay2018官网ig。
中度严重性实施错误(CVE-2022-2097)可能在某些情况下导致加密失败。
使用AES-NI组装优化实现的32位X86平台的AES OCB模式不会加密整个数据,该数据可能会揭示16个字节的数据,这些数据已在未编写的内存中预先存在。
在“适当”加密的特殊情况下,可以揭示16个字节。
由于OpenSSL不支持基于OCB的TLS和DTL的密码套件,因此它们都不受影响。
所有漏洞都已修复在最新版本中,Node.js V14.20.0(LTS),Node.js V16.16.0(LTS)和Node.js V18.5.0(Current)。
