开发人员敦促立即更新以保护其服务器端应用程序
node.js已发布安全更新以解决多个漏洞,包括记忆腐败错误和一个打开门的缺陷HTTP请求走私攻击。
Node.js是建立在Chrome的V8 JavaScript引擎上的开源JavaScript运行时环境。
这最近更新于1月4日推出,解决了无影响的无效记忆腐败缺陷(CVE-2020-8265)可能导致拒绝服务“或可能其他利用”。
“在写入TLS启用套接字时,节点:: streambase ::写呼叫Node :: Tlswrap :: Dowrite刚分配写入对象是第一个参数,”咨询解释说。
“如果是嫁妆方法不返回错误,此对象作为一个的一部分传递回呼叫者StreamWriteresult结构体。”
有关的Node.js应用程序通过流行的加密库中的遗产功能开放原型污染攻击
第二个漏洞(CVE-2020-8287)提供了一种攻击启动HTTP请求走私利用的手段。
node.js的受影响版本允许在HTTP请求中进行两个标题字段的副本。Node.js标识了第一个标题字段,并忽略了第二个标题字段,从而允许请求走私攻击。
这两个缺陷均已固定在10.x,12.x,14.x和15.x Node.js发行线的所有版本中。
三个人群
最新的安全版本还包括解决漏洞的修复程序(CVE-2020-1971)影响可以通过Node.js利用的OpenSSL加密库。
一个安全咨询OpenSSL发行的解释说,该缺陷如何导致拒绝服务攻击。
