jsernews 1.0.1

<~>

ts 214 days ago.

原文链接:https://nodejs.org/en/blog/vulnerability/oct-2017-dos/

概要

Node.js项目将在10月24日的这周发布4.x,6.x和8.x的新版本,以合并安全修复程序。

拒绝服务漏洞

4.8.2版本及更高版本,6.10.2及更高版本以及8.x的所有版本都容易受到一个漏洞的影响,导致外部攻击者使用的拒绝服务攻击。此漏洞的严重性为HIGH,受影响的版本的用户应计划在有可用修补程序时进行升级。

影响

Node.js 4.8.2及更高版本易受攻击。 Node.js 6.10.2及更高版本的漏洞很脆弱。 Node.js 8.x版本很脆弱。

发布时间

发布将于10月24日或之后提供,同时披露漏洞的详细信息,以便用户进行完整的影响评估。

联系和未来更新

当前的Node.js安全策略可以在 https://nodejs.org/en/security/ 找到。

如果您想在Node.js中报告漏洞,请联系security@nodejs.org

ts 208 days ago. link 1 point

(2017年10月24日更新)可用的版本

所有活跃的 Node.js 发行版本现在都有可使用的更新。修复了在初始公告中确定的漏洞。

建议所有用户尽快升级。

Node.js 特定的安全漏洞

由于zlib v1.2.9的一部分改变,Node.js容易受到一个远程DoS攻击。在 zlib v1.2.9 中,作为 windowBits 参数时,8 成为了一个非法值。Node.js的zlib模块会崩溃或抛出异常(取决于版本),如果你调用:

zlib.createDeflateRaw({windowBits: 8})

当使用 zlib 压缩信息时, windowBits 参数控制着内存中的信息大小。更大的 "window",会有更多的机会来发现和压缩重复的文本,但会导致更多的内存占用。windowBits 是 "window" 大小(以字节为单位)的基数为2的对数,之前可以采用8到15的任意整数值。

此问题(Node.js崩溃或抛出异常)可以被远程利用。在某些情况下,通过使用一些已存在的可能会请求 windowBits 的值为 8 的WebSocket客户端,或者通过自定义创建的 WebSocket 客户端。

在 Node.js 中经过更改,任何 windowBits 大小为8的请求,将使用 windowsBits 大小为9作为替代。这与以前的zLib行为一致,而且会最小化对现有应用程序的影响。