Node.js發布2021年第一個安全更新,包括兩個高危漏洞

2021-01-07 騰訊網

近日,Node.js 發布了2021年第一個安全更新,其中包括一個 TLSWrap 的 use-after-free 高危漏洞,可能被利用來破壞內存,從而導致拒絕服務攻擊。

TLSWrap 的 use-after-free 漏洞(高危:CVE-2020-8265)

受影響的 Node.js 版本在使用 TLS 時容易遭受到 「Use-After-Free」 攻擊。當寫入啟用了 TLS 的套接字時,node::StreamBase::Write 會調用 node::TLSWrap::DoWrite 方法,並使用新分配的 WriteWrap 對象作為第一個參數。如果 DoWrite 方法未返回錯誤,則此對象作為 StreamWriteResult 結構的一部分傳遞迴調用方。這可能被利用來破壞內存,從而導致拒絕服務或其他潛在的利用。

該漏洞最早由 Google Project Zero 的 Felix Wilhelm 報告,受影響的版本包括:15.x、14.x、12.x 和 10.x。

HTTP Request Smuggling 漏洞(低危:CVE-2020-8287)

受影響的 Node.js 版本允許在 HTTP 請求頭中存在欄位的兩個副本,例如兩個 Transfer-Encoding 欄位。這可能導致產生 HTTP Request Smuggling 漏洞。

該漏洞最早由 TSRC 報告,受影響的版本包括:15.x、14.x、12.x 和 10.x。

下圖是一個 HTTP Request Smuggling 的案例:

OpenSSL 空指針解引用漏洞(高危:CVE-2020-1971)

這其實是 OpenSSL 的一個高危漏洞,受影響的 Node.js 可以利用該漏洞。受影響的版本包括:14.x、12.x 和 10.x。

除以上列出的漏洞之外,這次安全更新還包括對 npm 的更新,解決一些安全掃描程序對 npm 報告的問題。

相關焦點

  • Node.js 15 正式發布,14 將支持到 2023 年
    JavaScript 運行時 Node.js 已經更新到了 15 版本。
  • nw.js桌面程序自動更新(node.js表白記)
     註:  光陰似水,人生若夢,又是人間年尾。  喜慶的話不多說,今天給大家分享一個大致3周前,初次涉足Node.js實現的nw.js桌面程序的自動更新模塊吧。  本文不做教學,僅用於打臉!希望以此得到各位大神的幫助。
  • Node.js 學習資料和教程(值得收藏)
    >被誤解的 Node.jsNode.js C++ addon編寫實戰系列熱門node.js模塊排行榜,方便找出你想要的模塊nodejs多線程,真正的非阻塞淺析nodejs的buffer類利用libuv編寫異步多線程的addon實例Node.js中exports與module.exports的區別Node.js http 管道拒絕服務漏洞Node.js高級編程
  • 【 Node.js】你應該知道的 NPM 知識都在這!
    但是 npm 本身對兩個腳本提供了默認值,這兩個腳本不用在 script 屬性中定義,可以直接使用"start": "node server.js""install": "node-gyp rebuild"npm run start 的默認值是 node server.js ,前提是根目錄下有 server.js
  • Node.js模塊化你所需要知道的事
    正文在Node.js中,內置了兩個模塊來進行模塊化管理,這兩個模塊也是兩個我們非常熟悉的關鍵字:require和module。內置意味著我們可以在全局範圍內使用這兩個模塊,而無需像其他模塊一樣,需要先引用再使用。
  • 什麼是伺服器端JavaScript Node.js?
    什麼是Node.js什麼是Node.jsNode.js是2009年發布的開源伺服器端平臺。它具有可實現實時Web應用程式環境的非阻塞I / O和Google Chrome瀏覽器中還包含的Google V8 JavaScript引擎。
  • 10+ 最佳的 Node.js 教程結合實例
    同時網上有著大量的資源和教程教你怎樣構建自己的Node.js應用。我們不防看看Node.js大神針對Web Apps寫的Node.js最佳指南。我們所覆蓋的指南將包括針對初學者的Node.js、中級指南,同時還有教你怎樣構建複雜的Node.js項目。
  • 在 Node.js 7 中甩掉 Callback Hell
    在幾個月之前,V8 引擎就實現了對 async/await 關鍵字的支持,Node.js 7中的 V8 經過幾次更新,終於在上一個 night build 版本中加入對異步編程的最高境界,就是根本不用關心它是不是異步, 所以 async/await 一直被譽為的 「殺手級解決方案」,讓你從回調地獄中解脫出來;現在就可以在 Node.js 7 中使用該關鍵字了,步驟如下:安裝 Node.js 7,可以使用 nvm 安裝;使用 async/await 寫一個簡單的示例使用 node --harmony-async-await
  • 你不知道的 Npm(Node.js 進階必備好文)
    但是 npm 本身對兩個腳本提供了默認值,這兩個腳本不用在 script 屬性中定義,可以直接使用"start": "node server.js""install": "node-gyp rebuild"npm run start 的默認值是 node server.js ,前提是根目錄下有 server.js
  • 【 Node.js 進階】你應該知道的 NPM 知識都在這!
    但是 npm 本身對兩個腳本提供了默認值,這兩個腳本不用在 script 屬性中定義,可以直接使用"start": "node server.js""install": "node-gyp rebuild"npm run start 的默認值是 node server.js ,前提是根目錄下有 server.js
  • Node.js 9發布,Node.js 8也被長期支持
    【IT168 資訊】Node.js Foundation近日發布了Node.js JavaScript運行時的第9個版本,與此同時Node.js 8也會被長期支持使用。
  • 最新Node.js框架:Koa 2 實用入門
    本文主要koa 2的文檔解讀和runkoa介紹,讓大家對koa 2有一個更簡單直接的理解Koa 2實用入門koa2已發布了一段時間,可以考慮入手,參見Node.js最新Web技術棧(2016年4月) http://nodeonly.com/stack/本文主要是koa 2的文檔解讀和runkoa介紹,讓大家對koa 2有一個更簡單直接的理解
  • node.js、MongoDB下一代的LAMP
    node.js、MongoDB下一代的LAMP 我們大部分人在做網站時,都用的是LAMP,殊不知LAMP已成過去式,新一代的小生:nix、node.js、MongoDB誕生了,讓我們走進他們,知道他們的故事!
  • 如何在Windows系統安裝最新版本的Node.js
    工具windows作業系統Node.js技術JavaScript在使用vue框架、react框架和angularjs框架時,隨著框架版本不斷更新,對應的Node.js版本也在不斷更新;如果版本不對應,搭建框架的項目就啟動不了。
  • SUMAP網絡空間測繪|2021年CVE漏洞趨勢安全分析報告
    同時攻擊者在面向全網攻擊,既包括傳統攻擊方式WEB攻擊、緩衝區溢出攻擊、資料庫攻擊,也涵蓋了新型攻擊——重點針對物聯網設備和工控設備層面的攻擊,現階段也越發的頻繁。 對於今天的網際網路安全我們更需要通過模型監測方式來持續觀察漏洞趨勢和影響範圍,才能持續應對漏洞爆發之後的安全趨勢分析評估。
  • Node.JS快速入門
    -v會顯示當前node的版本號2.快速入門2.1 控制臺輸出我們現在做個最簡單的小例子,演示如何在控制臺輸出,在e盤創建文件夾nodedemo ,創建文本文件demo1.js,代碼內容我們在命令提示符下輸入命令node demo1.js ,結果如下:2.2 使用函數我們剛才的例子非常簡單,咱們這裡再看一下函數的使用:我們在命令提示符下輸入命令node demo2.js ,結果如下:
  • 2021年首個更新到來:微軟推Win10新升級 修復重要安全漏洞-Windows...
    2021年已經到來,微軟也開始繼續Windows 10的更新,以此來解決系統中出現的不少Bug。據悉,微軟今天面向Windows 10系統發布了一組累積更新,這是邁入2021年以來首個補丁星期二活動日,主要修復了Windows 10內置組件的安全漏洞。
  • 前端頁面開發之Node JS初學者指南
    發展歷史  2009年2月,Ryan Dahl在博客上宣布準備基於V8創建一個輕量級的Web伺服器並提供一套庫。  2009年5月,Ryan Dahl在GitHub上發布了最初版本的部分Node.js包,隨後幾個月裡,有人開始使用Node.js開發應用。
  • Node.js 8 重要功能和修復全解析 - OSCHINA - 中文開源技術交流社區
    5月30日12點,Node.js 8正式發布了,這個版本具有一系列新功能和性能改進,並且這些功能和改進將獲得長期支持(LTS)。下面就來介紹Node.js 8版本中最重要的功能和修復。Node.js 8將從2017年10月起,正式成為當前的LTS版本,並持續到2019年12月31日。這也意味著Node.js 6版本將在2018年4月進入到維護模式,並在2019年4月結束維護支持。