服务公告

全部公告 > 安全公告 > Node.js多个安全漏洞预警

Node.js多个安全漏洞预警

2021-01-06

一、概要

近日,华为云关注到Node.js官方发布最新安全版本公告,披露在v10.x,v12.x,v14.x和v15.x 所有发行版本中存在多个安全漏洞。

Ø  CVE-2020-8265:TLSWrap中的use-after-free(UAF)漏洞,可能被利用来破坏内存,从而导致拒绝服务或可能的其他利用;

Ø  CVE-2020-8287:HTTP请求走私漏洞,可能会导致未经授权访问敏感数据或其他安全风险;

华为云提醒使用Node.js的用户尽快安排自检并做好安全加固。

参考链接:

https://groups.google.com/g/nodejs-sec/c/kyzmwvQdUfs

二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急)

三、漏洞影响范围

影响版本:

Node.js < v10.23.1 (LTS)

Node.js < v12.20.1 (LTS)

Node.js < v14.15.4 (LTS)

Node.js < v15.5.1

安全版本:

Node.js v10.23.1(LTS)

Node.js v12.20.1(LTS)

Node.js v14.15.4(LTS)

Node.js v15.5.1(Current)

四、漏洞处置

目前官方已在最新版本中修复了该漏洞,请受影响的用户及时升级至安全版本。

Node.js v10.23.1(LTS

Node.js v12.20.1(LTS

Node.js v14.15.4(LTS

Node.js v15.5.1(Current

注:修复漏洞前请将资料,并进行充分测试。