一、概要

近日，华为云关注到Node.js官方发布最新安全版本公告，披露在v12.x，v14.x和v15.x 相应的Node.js版本中存在一处高风险的拒绝服务漏洞（CVE-2020-8277）。受影响的Node.js应用允许攻击者对目标主机发送DNS请求，利用Node.js应用解析大量响应的DNS记录来对目标主机实现拒绝服务攻击。

华为云提醒使用Node.js的用户尽快安排自检并做好安全加固。

参考链接：

https://nodejs.org/en/blog/vulnerability/november-2020-security-releases/

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

影响版本：

Node.js 12.x: 12.16.3-12.19.1

Node.js 14.x: 14.13.0-14.15.1

Node.js 15.x全部版本

安全版本：

Node.js v12.19.1（LTS）

Node.js v14.15.1（LTS）

Node.js v15.2.1（Current）

四、漏洞处置

目前官方已在最新版本中修复了该漏洞，请受影响的用户及时升级至安全版本。

Node.js v12.19.1 (LTS)

Node.js v14.15.1 (LTS)

Node.js v15.2.1 (Current)

注：修复漏洞前请将资料备份，并进行充分测试。