【安全通告】Node.js拒绝服务漏洞风险通告(CVE-2021-22883)
摘要:
尊敬的腾讯云用户,您好!
近日,腾讯云安全运营中心监测到,Node.js 官方发布安全更新,此次更新涉及多个漏洞CVE-2021-22883
、CVE-2021-22884、CVE-2021-23840。其中重点提示了高危拒绝服务漏洞CVE-2021-22883,该漏洞由于HTTP2'unknownProtocol’造成资源耗尽,从而导致拒绝服务。
、CVE-2021-22884、CVE-2021-23840。其中重点提示了高危拒绝服务漏洞CVE-2021-22883,该漏洞由于HTTP2'unknownProtocol’造成资源耗尽,从而导致拒绝服务。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
CVE-2021-22883:
据官方说明,当受影响的Node.js版本使用“ unknownProtocol”建立的连接尝试过多时,容易遭到拒绝服务攻击,并也会同时导致文件描述符泄漏。 如果在系统上配置了文件描述符限制,则服务器将无法接受新的连接并阻止进程打开文件。 如果未配置文件描述符限制,则将导致过多的内存使用并最终导致系统内存不足。
据官方说明,当受影响的Node.js版本使用“ unknownProtocol”建立的连接尝试过多时,容易遭到拒绝服务攻击,并也会同时导致文件描述符泄漏。 如果在系统上配置了文件描述符限制,则服务器将无法接受新的连接并阻止进程打开文件。 如果未配置文件描述符限制,则将导致过多的内存使用并最终导致系统内存不足。
风险等级
高风险
漏洞风险
漏洞被利用可导致拒绝服务
影响版本
目前已发布的所有15.x, 14.x, 12.x 和 10.x版本:
Node.js < v12.21.0 (LTS)
Node.js < v10.24.0 (LTS)
Node.js < v14.16.0 (LTS)
Node.js < v15.10.0
安全版本
Node.js v12.21.0 (LTS)
Node.js v10.24.0 (LTS)
Node.js v14.16.0 (LTS)
Node.js v15.10.0 (当前)
修复建议
目前官方已发布漏洞修复版本,请检查您的Node.js是否在受影响范围内,并综合评估漏洞可能对您造成危害,及修复工作对业务的影响,酌情修复。
如需修复,请你选择合理时间进行升级操作,通过官方渠道升级到修复版本。
官方新版本下载链接:
https://nodejs.org/en/blog/release/v10.24.0/
【备注】:建议您在安装补丁前做好数据备份工作,避免出现意外。
漏洞参考
官方安全公告:
