Node.js 發佈2021年第一個安全更新

近日，Node.js 發佈了2021年第一個安全更新，其中包括一個 TLSWrap 的 use-after-free 高危漏洞，可能被利用來破壞內存，從而導致拒絕服務攻擊。

TLSWrap 的 use-after-free 漏洞（高危：CVE-2020-8265）

受影響的 Node.js 版本在使用 TLS 時容易遭受到 “Use-After-Free” 攻擊。當寫入啟用了 TLS 的套接字時，node::StreamBase::Write 會調用 node::TLSWrap::DoWrite 方法，並使用新分配的 WriteWrap 對象作為第一個參數。如果 DoWrite 方法未返回錯誤，則此對象作為 StreamWriteResult 結構的一部分傳遞迴調用方。這可能被利用來破壞內存，從而導致拒絕服務或其他潛在的利用。

該漏洞最早由 Google Project Zero 的 Felix Wilhelm 報告，受影響的版本包括：15.x、14.x、12.x 和 10.x。

HTTP Request Smuggling 漏洞（低危：CVE-2020-8287）

受影響的 Node.js 版本允許在 HTTP 請求頭中存在字段的兩個副本，例如兩個 Transfer-Encoding 字段。這可能導致產生 HTTP Request Smuggling 漏洞。

該漏洞最早由 TSRC 報告，受影響的版本包括：15.x、14.x、12.x 和 10.x。

OpenSSL 空指針解引用漏洞（高危：CVE-2020-1971）

這其實是 OpenSSL 的一個高危漏洞，受影響的 Node.js 可以利用該漏洞。受影響的版本包括：14.x、12.x 和 10.x。

除以上列出的漏洞之外，這次安全更新還包括對 npm 的更新，解決一些安全掃描程序對 npm 報告的問題。