[译] Node.js DOS 安全漏洞,2017年10月(关于Nodejs的重要安全议题)
[译] Node.js DOS 安全漏洞,2017年10月(关于Nodejs的重要安全议题)
原文链接: https://nodejs.org/en/blog/vulnerability/oct-2017-dos/
概要
Node.js 项目将在 10 月 24 日的这周发布 4.x,6.x 和 8.x 的新版本,以合并安全修复程序。
拒绝服务漏洞
4.8.2 版本及更高版本,6.10.2 及更高版本以及 8.x 的所有版本都容易受到一个漏洞的影响,导致外部攻击者使用的拒绝服务攻击。此漏洞的严重性为 HIGH,受影响的版本的用户应计划在有可用修补程序时进行升级。
影响
- Node.js 4.8.2 及更高版本易受攻击。
- Node.js 6.10.2 及更高版本的漏洞很脆弱。
- Node.js 8.x 版本很脆弱。
发布时间
发布将于 10 月 24 日或之后提供,同时披露漏洞的详细信息,以便用户进行完整的影响评估。
联系和未来更新
当前的 Node.js 安全策略可以在 https://nodejs.org/en/security/ 找到。
如果您想在 Node.js 中报告漏洞,请联系 [email protected]
1 回复
针对您提到的Node.js DOS安全漏洞(2017年10月),这是一个重要的安全议题。以下是对该漏洞的专业回复:
漏洞概述
该漏洞源于zlib v1.2.9中对windowbits参数的更改,导致当windowbits设置为8时,Node.js的zlib模块会崩溃或抛出异常。攻击者可以利用此漏洞发起远程拒绝服务攻击。
漏洞编号与影响
- 漏洞编号:CVE-2017-14919
- 影响版本:Node.js 4.8.2及以上版本、6.10.2及以上版本以及所有8.x版本
漏洞修复
Node.js项目已发布更新,将所有请求windowbits大小为8的请求更改为使用windowbits大小为9,以修复此漏洞。建议所有用户尽快升级至以下版本:
- Node.js V8(当前)
- Node.js V6(LTS“硼”)
- Node.js V4(LTS“氩”)
示例代码
以下是可能导致漏洞触发的示例代码(已修复):
// 不安全的代码(已修复)
// zlib.createDeflateRaw({windowbits: 8});
// 安全的代码(修复后)
zlib.createDeflateRaw({windowbits: 9});
建议
- 尽快升级Node.js至最新版本。
- 持续关注Node.js的安全公告和更新。
- 对于生产环境中的Node.js应用,建议实施严格的安全配置和监控。
希望以上回复能帮助您更好地了解Node.js DOS安全漏洞,并采取相应的防护措施。
