尊敬的用户,您好!
近日,安全运营中心监测到,Node.js 官方发布多个安全更新,新版本修复了一个use-after-free漏洞(漏洞编号:CVE-2020-8265),及一个HTTP Request Smuggling漏洞(漏洞编号:CVE-2020-8287)。其中CVE-2020-8265 use-after-free漏洞危害相对较高,可重点关注,该漏洞被利用可造成破坏内存,可导致拒绝服务或其他潜在的利用。
为避免您的业务受影响,棉花云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
CVE-2020-8265:
据官方说明,受影响的Node.js版本中,TLSWrap存在use-after-free漏洞。当写入TLS的套接字时,node::StreamBase::Write调用node::TLSWrap::DoWrite并使用新分配的WriteWrap对象作为第一个参数。如果DoWrite方法未返回错误,则此对象将作为StreamWriteResult结构的一部分传递回调用方。 这可能被利用导致破坏内存,从而最终导致拒绝服务或其他潜在的利用
CVE-2020-8287:
受影响的Node.js版本中,允许http请求头中存在两个副本。 例如,两个Transfer-Encoding标头字段。在这种情况下,Node.js标识第一个标头字段,而忽略第二个标头字段。 这可能会导致HTTP请求走私漏洞。
风险等级
CVE-2020-8265:高风险
CVE-2020-8287:低风险
漏洞风险
CVE-2020-8265:漏洞被利用可导致拒绝服务或其他潜在利用
CVE-2020-8287:漏洞被利用可导致 HTTP 请求走私。
影响版本
Node.js < v12.20.1 (LTS)
Node.js < v10.23.1 (LTS)
Node.js < v14.15.4 (LTS)
Node.js < v15.5.1
安全版本
Node.js v12.20.1 (LTS)
Node.js v10.23.1 (LTS)
Node.js v14.15.4 (LTS)
Node.js v15.5.1 (当前)
修复建议
目前官方已发布漏洞修复版本,请检查您的Node.js是否在受影响范围内,并综合评估漏洞可能对您造成危害,及修复工作对业务的影响,酌情修复。
如需修复,请你选择合理时间进行升级操作,通过官方渠道升级到修复版本。
官方新版本下载链接:
https://nodejs.org/en/blog/release/v12.20.1/
https://nodejs.org/en/blog/release/v10.23.1/
https://nodejs.org/en/blog/release/v14.15.4/
https://nodejs.org/en/blog/release/v15.5.1/
【备注】:建议您在安装补丁前做好数据备份工作,避免出现意外。
漏洞参考
官方安全公告:
https://nodejs.org/en/blog/棉花云运营部
Copyright © 2014-2023 棉花云. All Rights Reserved. 2014IDC 版权所有 江西乐网网络科技有限公司 赣ICP备15007148号-5
使用本网站产品请严格遵守当地法律法规。用户严禁任何触犯中华人民共和国或香港特别行政区以及所在地相关法律规定。
本站部分服务由以下合作商提供:西数 新网 DNSPOD 商务中国 新网互联 阿里云 腾讯云 PDR
棉花云®为我司注册商标,受商标法保护,未经授权许可,严禁个人或组织使用
棉花云网址:www.88sup.com 、mianhuayun.net、www.mianhuayun.net
以我所能,为你而+,助力轻松触及云端。
《中华人民共和国公安部网安备案》编号 赣公网安备
36010302000229号
《中华人民共和国增值电信业务经营许可证》编号 云牌照/IDC/ISP:B1-20224338
