【安全通告】Node.js多个安全漏洞风险通告
摘要:
尊敬的腾讯云用户,您好!
近日,腾讯云安全运营中心监测到,Node.js 官方发布多个安全更新,新版本修复了一个use-after-free漏洞(漏洞编号:CVE-2020-8265),及一个HTTP Request Smuggling漏洞(漏洞编号:CVE-2020-8287)。其中CVE-2020-8265 use-after-free漏洞危害相对较高,可重点关注,该漏洞被利用可造成破坏内存,可导致拒绝服务或其他潜在的利用。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
CVE-2020-8265:
据官方说明,受影响的Node.js版本中,TLSWrap存在use-after-free漏洞。当写入TLS的套接字时,node::StreamBase::Write调用node::TLSWrap::DoWrite并使用新分配的WriteWrap对象作为第一个参数。如果DoWrite方法未返回错误,则此对象将作为StreamWriteResult结构的一部分传递回调用方。 这可能被利用导致破坏内存,从而最终导致拒绝服务或其他潜在的利用
据官方说明,受影响的Node.js版本中,TLSWrap存在use-after-free漏洞。当写入TLS的套接字时,node::StreamBase::Write调用node::TLSWrap::DoWrite并使用新分配的WriteWrap对象作为第一个参数。如果DoWrite方法未返回错误,则此对象将作为StreamWriteResult结构的一部分传递回调用方。 这可能被利用导致破坏内存,从而最终导致拒绝服务或其他潜在的利用
CVE-2020-8287:
受影响的Node.js版本中,允许http请求头中存在两个副本。 例如,两个Transfer-Encoding标头字段。在这种情况下,Node.js标识第一个标头字段,而忽略第二个标头字段。 这可能会导致HTTP请求走私漏洞。
受影响的Node.js版本中,允许http请求头中存在两个副本。 例如,两个Transfer-Encoding标头字段。在这种情况下,Node.js标识第一个标头字段,而忽略第二个标头字段。 这可能会导致HTTP请求走私漏洞。
风险等级
CVE-2020-8265:高风险
CVE-2020-8287:低风险
漏洞风险
CVE-2020-8265:漏洞被利用可导致拒绝服务或其他潜在利用
CVE-2020-8287:漏洞被利用可导致 HTTP 请求走私。
影响版本
Node.js < v12.20.1 (LTS)
Node.js < v10.23.1 (LTS)
Node.js < v14.15.4 (LTS)
Node.js < v15.5.1
安全版本
Node.js v12.20.1 (LTS)Node.js v10.23.1 (LTS)
Node.js v14.15.4 (LTS)
Node.js v15.5.1 (当前)
修复建议
目前官方已发布漏洞修复版本,请检查您的Node.js是否在受影响范围内,并综合评估漏洞可能对您造成危害,及修复工作对业务的影响,酌情修复。
如需修复,请你选择合理时间进行升级操作,通过官方渠道升级到修复版本。
官方新版本下载链接:
https://nodejs.org/en/blog/release/v12.20.1/
https://nodejs.org/en/blog/release/v10.23.1/
https://nodejs.org/en/blog/release/v14.15.4/
https://nodejs.org/en/blog/release/v15.5.1/
【备注】:建议您在安装补丁前做好数据备份工作,避免出现意外。
漏洞参考
官方安全公告:https://nodejs.org/en/blog/
