Node.js Blog
·
2021年2月安全发布
💡
原文英文,约300词,阅读约需1分钟。
📝
内容提要
Node.js v10.x、v12.x、v14.x 和 v15.x 存在多个安全漏洞,包括拒绝服务攻击和 DNS 重新绑定攻击,攻击者可利用这些漏洞导致文件描述符泄漏和内存耗尽。感谢 OMICRON 电子和 Vít Šesták 报告这些问题。
🎯
关键要点
- Node.js v10.x、v12.x、v14.x 和 v15.x 存在多个安全漏洞。
- 这些漏洞包括拒绝服务攻击,导致文件描述符泄漏和内存耗尽。
- 当系统配置了文件描述符限制时,服务器无法接受新连接。
- 如果没有配置文件描述符限制,可能导致系统内存耗尽。
- 存在 DNS 重新绑定攻击的漏洞,特别是当白名单包含 'localhost6' 时。
- 攻击者可以利用控制受害者 DNS 服务器的能力绕过 DNS 重新绑定保护。
❓
延伸问答
Node.js 的哪些版本存在安全漏洞?
Node.js v10.x、v12.x、v14.x 和 v15.x 存在多个安全漏洞。
这些安全漏洞可能导致什么后果?
这些漏洞可能导致文件描述符泄漏和内存耗尽。
拒绝服务攻击是如何影响 Node.js 的?
拒绝服务攻击会导致文件描述符泄漏,若配置了限制,服务器无法接受新连接。
DNS 重新绑定攻击是如何发生的?
当白名单包含 'localhost6' 且攻击者控制受害者的 DNS 服务器时,DNS 重新绑定保护可以被绕过。
如果没有配置文件描述符限制,会发生什么?
如果没有配置文件描述符限制,可能导致系统内存耗尽。
谁报告了这些安全漏洞?
OMICRON 电子和 Vít Šesták 报告了这些安全漏洞。
➡️
