【安全通告】Node.js多个安全漏洞风险通告

更新时间：2021-09-22 18:47 阅读次数：133

扫一扫，手机访问

漏洞详情

CVE-2020-8265：
据官方说明，受影响的Node.js版本中，TLSWrap存在use-after-free漏洞。当写入TLS的套接字时，node::StreamBase::Write调用node::TLSWrap::DoWrite并使用新分配的WriteWrap对象作为第一个参数。如果DoWrite方法未返回错误，则此对象将作为StreamWriteResult结构的一部分传递回调用方。这可能被利用导致破坏内存，从而最终导致拒绝服务或其他潜在的利用

CVE-2020-8287：
受影响的Node.js版本中，允许http请求头中存在两个副本。例如，两个Transfer-Encoding标头字段。在这种情况下，Node.js标识第一个标头字段，而忽略第二个标头字段。这可能会导致HTTP请求走私漏洞。

风险等级

CVE-2020-8265：高风险

CVE-2020-8287：低风险

漏洞风险

CVE-2020-8265：漏洞被利用可导致拒绝服务或其他潜在利用

CVE-2020-8287：漏洞被利用可导致 HTTP 请求走私。

影响版本

Node.js < v12.20.1 (LTS)
Node.js < v10.23.1 (LTS)
Node.js < v14.15.4 (LTS)

Node.js < v15.5.1

安全版本

Node.js v12.20.1 (LTS)
Node.js v10.23.1 (LTS)
Node.js v14.15.4 (LTS)
Node.js v15.5.1 (当前)

修复建议

目前官方已发布漏洞修复版本，请检查您的Node.js是否在受影响范围内，并综合评估漏洞可能对您造成危害，及修复工作对业务的影响，酌情修复。

如需修复，请你选择合理时间进行升级操作，通过官方渠道升级到修复版本。

官方新版本下载链接：

https://nodejs.org/en/blog/release/v12.20.1/
https://nodejs.org/en/blog/release/v10.23.1/
https://nodejs.org/en/blog/release/v14.15.4/
https://nodejs.org/en/blog/release/v15.5.1/