Node.js 发布2021年第一个安全更新

近日，Node.js 发布了2021年第一个安全更新，其中包括一个 TLSWrap 的 use-after-free 高危漏洞，可能被利用来破坏内存，从而导致拒绝服务攻击。

TLSWrap 的 use-after-free 漏洞（高危：CVE-2020-8265）

受影响的 Node.js 版本在使用 TLS 时容易遭受到 “Use-After-Free” 攻击。当写入启用了 TLS 的套接字时，node::StreamBase::Write 会调用 node::TLSWrap::DoWrite 方法，并使用新分配的 WriteWrap 对象作为第一个参数。如果 DoWrite 方法未返回错误，则此对象作为 StreamWriteResult 结构的一部分传递回调用方。这可能被利用来破坏内存，从而导致拒绝服务或其他潜在的利用。

该漏洞最早由 Google Project Zero 的 Felix Wilhelm 报告，受影响的版本包括：15.x、14.x、12.x 和 10.x。

HTTP Request Smuggling 漏洞（低危：CVE-2020-8287）

受影响的 Node.js 版本允许在 HTTP 请求头中存在字段的两个副本，例如两个 Transfer-Encoding 字段。这可能导致产生 HTTP Request Smuggling 漏洞。

该漏洞最早由 TSRC 报告，受影响的版本包括：15.x、14.x、12.x 和 10.x。

OpenSSL 空指针解引用漏洞（高危：CVE-2020-1971）

这其实是 OpenSSL 的一个高危漏洞，受影响的 Node.js 可以利用该漏洞。受影响的版本包括：14.x、12.x 和 10.x。

除以上列出的漏洞之外，这次安全更新还包括对 npm 的更新，解决一些安全扫描程序对 npm 报告的问题。