Node.js Blog
·
2022年1月10日安全更新
💡
原文英文,约600词,阅读约需3分钟。
📝
内容提要
Node.js的v12.x、v14.x、v16.x和v17.x版本发布了更新,修复了多个安全漏洞,特别是针对证书验证中主题替代名称(SAN)处理不当的问题。修复后,Node.js在检查证书时禁用了URI SAN类型,以防止注入攻击。新版本将于2022年1月10日发布,用户可通过命令行选项恢复旧行为。
🎯
关键要点
-
Node.js的v12.x、v14.x、v16.x和v17.x版本发布了更新,修复了多个安全漏洞。
-
修复了证书验证中主题替代名称(SAN)处理不当的问题,禁用了URI SAN类型以防止注入攻击。
-
新版本将于2022年1月10日发布,用户可通过--security-revert命令行选项恢复旧行为。
-
Node.js在检查证书时,修复了对SAN字符串格式的注入漏洞,确保安全性。
-
Node.js不再接受多值相对区分名称,防止攻击者利用此漏洞绕过证书主题验证。
-
Node.js的各个版本均存在中等和低严重性的问题,更新将解决这些问题。
❓
延伸问答
Node.js的更新修复了哪些安全漏洞?
Node.js的更新修复了多个安全漏洞,特别是针对证书验证中主题替代名称(SAN)处理不当的问题。
如何恢复Node.js的旧行为?
用户可以通过命令行选项--security-revert来恢复Node.js的旧行为。
Node.js在证书检查中做了哪些改进?
Node.js在检查证书时禁用了URI SAN类型,以防止注入攻击,并修复了对SAN字符串格式的注入漏洞。
Node.js的各个版本存在什么样的安全问题?
Node.js的各个版本均存在中等和低严重性的问题,更新将解决这些问题。
Node.js如何防止证书主题验证的绕过?
Node.js不再接受多值相对区分名称,防止攻击者利用此漏洞绕过证书主题验证。
新版本的Node.js何时发布?
新版本的Node.js将于2022年1月10日发布。
➡️
