CVE-2020-8277:Node.js通过DNS请求实现拒绝服务

2020-11-17 10:43:44
Node.js应用程序允许攻击者为自己选择的主机触发DNS请求,通过使该应用程序解析具有大量响应的DNS记录来触发拒绝服务(DoS)。

漏洞描述:

Node.js项目在2020年11月16日发布15.x,14.x和12.x的新版本,修复一个高危漏洞。Node.js应用程序允许攻击者为自己选择的主机触发DNS请求,通过使该应用程序解析具有大量响应的DNS记录来触发拒绝服务(DoS)。


Node.js 是能够在服务器端运行 JavaScript 的开放源代码、跨平台 JavaScript 运行环境。

 

漏洞编号:CVE-2020-8277

 

漏洞等级:高危

 

受影响的版本:

Node.js 12.x 系列:12.16.3-12.19.1

Node.js 14.x系列:14.13.0-14.15.1

Node.js 15.x系列全部版本

 

已修复版本:

Node.js v12.19.1(LTS)

Node.js v14.15.1(LTS)

Node.js v15.2.1(当前)

 

修复建议:

腾讯安全专家建议受影响的用户升级到安全版本。


时间线:

1.2020.11.16Node.js官方发布安全公告;

2.2020.11.17日,腾讯安全发布安全公告。


参考链接:

https://nodejs.org/en/blog/release/v12.19.1/

https://nodejs.org/en/blog/vulnerability/november-2020-security-releases/

https://github.com/nodejs/node/commit/022899e1d5

最新资讯