一、概要
近日,昊之云技术关注到Node.js官方发布最新安全版本公告,披露在v10.x,v12.x,v14.x和v15.x 所有发行版本中存在多个安全漏洞。
Ø CVE-2020-8265:TLSWrap中的use-after-free(UAF)漏洞,可能被利用来破坏内存,从而导致拒绝服务或可能的其他利用;
Ø CVE-2020-8287:HTTP请求走私漏洞,可能会导致未经授权访问敏感数据或其他安全风险;
昊之云提醒使用Node.js的用户尽快安排自检并做好安全加固。
参考链接:
https://groups.google.com/g/nodejs-sec/c/kyzmwvQdUfs
二、威胁级别
威胁级别:【严重】
(说明:威胁级别共四级:一般、重要、严重、紧急)
三、漏洞影响范围
影响版本:
Node.js < v10.23.1 (LTS)
Node.js < v12.20.1 (LTS)
Node.js < v14.15.4 (LTS)
Node.js < v15.5.1
安全版本:
Node.js v10.23.1(LTS)
Node.js v12.20.1(LTS)
Node.js v14.15.4(LTS)
Node.js v15.5.1(Current)
四、漏洞处置
目前官方已在最新版本中修复了该漏洞,请受影响的用户及时升级至安全版本。
注:修复漏洞前请将资料备份,并进行充分测试。
Copyright © 2013-2022 dsjidc.com All Rights Reserved. 昊之云 版权所有 河南大数据通信科技有限公司 豫ICP备14015351号
《中华人民共和国增值电信业务经营许可证》| 豫B1.B2-20160262 | 豫公网安备 41010502003911号