node.js 九月安全更新通告(2020年9月15日)

2020-09-21 11:08:31
node.js 官方发布九月安全更新通告,修复了若干个严重、高危漏洞

CVE-2020-8201|由于CR到连字符的转换导致HTTP Request Smuggling(HTTP协议走私)

 

漏洞等级:高风险

 

受影响的Node.js版本转换后的回车,在解析之前将HTTP请求标头中的连字符返回给连字符,这可能导致HTTP Request Smuggling(HTTP协议走私)。

 

受影响的版本:

Node.js 14.x-12.x的所有版本



CVE-2020-8251|由于未完成的HTTP / 1.1请求而导致资源耗尽CWE-400拒绝服务

 

漏洞等级:严重

 

由于延迟提交请求,Node.js容易受到HTTP拒绝服务(DOS)攻击,这会使服务器无法接受新连接。修复了一个名为requestTimeout的新http.Server选项,默认值为0,这意味着默认情况下它被禁用。当将Node.js用作边缘服务器时,应设置此选项,有关更多详细信息,请参考文档。

 

受影响的版本:

Node.js 14.x的所有版本




CVE-2020-8252|fs.realpath.native可能导致缓冲区溢出

 

漏洞等级:中风险

 

libuvrealpath实现错误地确定了缓冲区大小,如果解析的路径长于256个字节,则可能导致缓冲区溢出。

 

受影响的版本:

Node.js 10.x的所有版本

Node.js 12.x的所有版本

Node.js 14.9.0之前的14.X所有版本


安全版本:

Node.js项目将在2020年9月15日之后发布所有受支持版本的新版本。

Node.js v10.22.1(LTS)

https://nodejs.org/en/blog/release/v10.22.1/

 

Node.js v12.18.4(LTS)

https://nodejs.org/en/blog/release/v12.18.4/

 

Node.js v14.11.0(当前)

https://nodejs.org/en/blog/release/v14.11.0/


漏洞修复:

腾讯安全专家建议受影响的用户尽快将Node.js组件升级到上述安全版本。

 

参考资料:

https://nodejs.org/en/blog/vulnerability/september-2020-security-releases/

最新资讯