Node.js Blog
·
2023年10月13日星期五安全更新
原文英文,约600词,阅读约需2分钟。
📝
内容提要
Node.js v18.x和v20.x版本发布了安全更新,修复了多个高危漏洞,包括跨域重定向中的Cookie泄露和流的拒绝服务攻击。新版本将于2023年10月13日发布,建议用户关注Node.js安全政策和漏洞报告流程。
🎯
关键要点
-
Node.js v18.x和v20.x版本发布了安全更新,修复了多个高危漏洞。
-
修复的漏洞包括跨域重定向中的Cookie泄露和流的拒绝服务攻击。
-
新版本将于2023年10月13日发布,建议用户关注Node.js安全政策和漏洞报告流程。
-
Undici未能在跨域重定向中清除Cookie头,可能导致Cookie泄露。
-
快速创建和取消流可能导致拒绝服务攻击。
-
Node.js的某些功能未能防止路径遍历漏洞,允许用户定义的实现覆盖内置功能。
-
恶意构造的WebAssembly模块导入名称可能会注入JavaScript代码,导致安全风险。
❓
延伸问答
Node.js v18.x和v20.x版本的安全更新修复了哪些漏洞?
修复了跨域重定向中的Cookie泄露和流的拒绝服务攻击等多个高危漏洞。
新版本的Node.js将于什么时候发布?
新版本将于2023年10月13日发布。
Node.js的安全政策在哪里可以找到?
Node.js的当前安全政策可以在https://nodejs.org/security/找到。
什么是跨域重定向中的Cookie泄露?
跨域重定向中的Cookie泄露是指在不当处理Cookie头时,可能将Cookie泄露给第三方网站或恶意攻击者。
Node.js的拒绝服务攻击是如何发生的?
拒绝服务攻击发生在快速创建和取消流时,导致系统无法处理请求。
如何报告Node.js中的安全漏洞?
可以按照https://github.com/nodejs/node/security/policy中概述的流程报告Node.js中的安全漏洞。
🏷️
