漏洞描述:
Node.js项目在2020年11月16日发布15.x,14.x和12.x的新版本,修复一个高危漏洞。Node.js应用程序允许攻击者为自己选择的主机触发DNS请求,通过使该应用程序解析具有大量响应的DNS记录来触发拒绝服务(DoS)。
Node.js 是能够在服务器端运行 JavaScript 的开放源代码、跨平台 JavaScript 运行环境。
漏洞编号:CVE-2020-8277
漏洞等级:高危
受影响的版本:
Node.js 12.x 系列:12.16.3-12.19.1
Node.js 14.x系列:14.13.0-14.15.1
Node.js 15.x系列全部版本
已修复版本:
Node.js v12.19.1(LTS)
Node.js v14.15.1(LTS)
Node.js v15.2.1(当前)
修复建议:
腾讯安全专家建议受影响的用户升级到安全版本。
时间线:
1.2020.11.16Node.js官方发布安全公告;
2.2020.11.17日,腾讯安全发布安全公告。
参考链接:
https://nodejs.org/en/blog/release/v12.19.1/
https://nodejs.org/en/blog/vulnerability/november-2020-security-releases/