Node.js 发布2021年第一个安全更新

包括两个高危漏洞和一个低危漏洞

最近更新时间 2021-01-06 11:58:07

node.js

近日,Node.js 发布了2021年第一个安全更新,其中包括一个 TLSWrap 的 use-after-free 高危漏洞,可能被利用来破坏内存,从而导致拒绝服务攻击。

TLSWrap 的 use-after-free 漏洞(高危:CVE-2020-8265)

受影响的 Node.js 版本在使用 TLS 时容易遭受到 “Use-After-Free” 攻击。当写入启用了 TLS 的套接字时,node::StreamBase::Write 会调用 node::TLSWrap::DoWrite 方法,并使用新分配的 WriteWrap 对象作为第一个参数。如果 DoWrite 方法未返回错误,则此对象作为 StreamWriteResult 结构的一部分传递回调用方。这可能被利用来破坏内存,从而导致拒绝服务或其他潜在的利用。

该漏洞最早由 Google Project Zero 的 Felix Wilhelm 报告,受影响的版本包括:15.x、14.x、12.x 和 10.x。

HTTP Request Smuggling 漏洞(低危:CVE-2020-8287)

受影响的 Node.js 版本允许在 HTTP 请求头中存在字段的两个副本,例如两个 Transfer-Encoding 字段。这可能导致产生 HTTP Request Smuggling 漏洞。

该漏洞最早由 TSRC 报告,受影响的版本包括:15.x、14.x、12.x 和 10.x。

OpenSSL 空指针解引用漏洞(高危:CVE-2020-1971)

这其实是 OpenSSL 的一个高危漏洞,受影响的 Node.js 可以利用该漏洞。受影响的版本包括:14.x、12.x 和 10.x。

除以上列出的漏洞之外,这次安全更新还包括对 npm 的更新,解决一些安全扫描程序对 npm 报告的问题。

最近浏览
正在加载浏览记录
rss_feed