Node.js Blog
·
OpenSSL安全公告评估,2026年1月
💡
原文英文,约500词,阅读约需2分钟。
📝
内容提要
Node.js项目评估了OpenSSL的安全公告,发现三项低至中等严重性的CVE漏洞,主要影响PFX证书文件处理。由于攻击面有限,相关更新将包含在即将发布的常规版本中,其他九项CVE不影响Node.js。
🎯
关键要点
- Node.js项目评估了OpenSSL的安全公告,发现三项低至中等严重性的CVE漏洞。
- 这三项漏洞主要影响PFX证书文件的处理。
- 由于攻击面有限,相关更新将包含在即将发布的常规版本中。
- 其他九项CVE不影响Node.js的任何分支。
- Node.js不使用CMS API,因此与CVE-2025-15467无关。
- Node.js从未调用SSL_CIPHER_find(),因此与CVE-2025-15468无关。
- Node.js构建时禁用了证书压缩,因此与CVE-2025-66199无关。
- Node.js使用EVP API,避免了与CVE-2025-69418相关的漏洞。
- Node.js不调用PKCS12_get_friendlyname函数,因此与CVE-2025-69419无关。
- Node.js不使用时间戳协议API,因此与CVE-2025-69420无关。
- Node.js不调用PKCS#7签名验证API,因此与CVE-2026-22796无关。
- Node.js的安全政策和漏洞报告信息可在其GitHub页面找到。
➡️
