关于我们

质量为本、客户为根、勇于拼搏、务实创新、以我所能,为你而+,助力轻松触及云端

< 返回新闻公共列表

Node.js多个安全漏洞风险通告

发布时间:2021-01-06 15:29:57

尊敬的用户,您好!

近日,安全运营中心监测到,Node.js 官方发布多个安全更新,新版本修复了一个use-after-free漏洞(漏洞编号:CVE-2020-8265),及一个HTTP Request Smuggling漏洞(漏洞编号:CVE-2020-8287)。其中CVE-2020-8265 use-after-free漏洞危害相对较高,可重点关注,该漏洞被利用可造成破坏内存,可导致拒绝服务或其他潜在的利用

为避免您的业务受影响,棉花云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

漏洞详情

CVE-2020-8265:

据官方说明,受影响的Node.js版本中,TLSWrap存在use-after-free漏洞。当写入TLS的套接字时,node::StreamBase::Write调用node::TLSWrap::DoWrite并使用新分配的WriteWrap对象作为第一个参数。如果DoWrite方法未返回错误,则此对象将作为StreamWriteResult结构的一部分传递回调用方。 这可能被利用导致破坏内存,从而最终导致拒绝服务或其他潜在的利用

CVE-2020-8287:

受影响的Node.js版本中,允许http请求头中存在两个副本。 例如,两个Transfer-Encoding标头字段。在这种情况下,Node.js标识第一个标头字段,而忽略第二个标头字段。 这可能会导致HTTP请求走私漏洞。

风险等级

CVE-2020-8265:高风险

CVE-2020-8287:低风险

漏洞风险

CVE-2020-8265:漏洞被利用可导致拒绝服务或其他潜在利用

CVE-2020-8287:漏洞被利用可导致 HTTP 请求走私。

影响版本

Node.js < v12.20.1 (LTS)

Node.js < v10.23.1 (LTS)

Node.js < v14.15.4 (LTS)

Node.js < v15.5.1 


安全版本

Node.js v12.20.1 (LTS)

Node.js v10.23.1 (LTS)

Node.js v14.15.4 (LTS)

Node.js v15.5.1 (当前)

修复建议

目前官方已发布漏洞修复版本,请检查您的Node.js是否在受影响范围内,并综合评估漏洞可能对您造成危害,及修复工作对业务的影响,酌情修复。

如需修复,请你选择合理时间进行升级操作,通过官方渠道升级到修复版本。

官方新版本下载链接:

https://nodejs.org/en/blog/release/v12.20.1/ 

https://nodejs.org/en/blog/release/v10.23.1/ 

https://nodejs.org/en/blog/release/v14.15.4/ 

https://nodejs.org/en/blog/release/v15.5.1/ 

【备注】:建议您在安装补丁前做好数据备份工作,避免出现意外。

漏洞参考

官方安全公告:

https://nodejs.org/en/blog/


棉花云运营部



/template/Home/mianhuayun/PC/Static