Node.js Blog
·
OpenSSL安全更新不需要Node.js安全更新
💡
原文英文,约200词,阅读约需1分钟。
📝
内容提要
2019年9月10日的OpenSSL安全更新对Node.js没有影响,Node.js不受ECDSA远程时间攻击、Fork保护和PKCS7数据解码等漏洞影响。OpenSSL更新将作为常规更新发布。
🎯
关键要点
- 2019年9月10日的OpenSSL安全更新对Node.js没有影响。
- Node.js不受ECDSA远程时间攻击(CVE-2019-1547)影响,因为Node只支持命名曲线进行ECDSA签名。
- Node.js不受Fork保护(CVE-2019-1549)影响,因为Node在fork()后总是调用exec(),不会在fork的进程中复制PRNG状态。
- Node.js不受PKCS7_dataDecode和CMS_decrypt_set1_pkey(CVE-2019-1563)影响,因为Node不支持PCKS7和CMS。
- 因此,OpenSSL更新将被视为非安全补丁更新,并将在定期更新中发布。
❓
延伸问答
OpenSSL的安全更新对Node.js有什么影响吗?
OpenSSL的安全更新对Node.js没有影响。
Node.js是否受到ECDSA远程时间攻击的影响?
Node.js不受ECDSA远程时间攻击(CVE-2019-1547)的影响,因为它只支持命名曲线进行ECDSA签名。
Node.js如何处理fork()后的进程?
Node.js在fork()后总是调用exec(),因此不会在fork的进程中复制PRNG状态。
Node.js是否支持PKCS7和CMS?
Node.js不支持PKCS7和CMS,因此不受相关漏洞(CVE-2019-1563)的影响。
OpenSSL更新将如何发布?
OpenSSL更新将被视为非安全补丁更新,并将在定期更新中发布。
如何获取Node.js的安全政策和漏洞报告信息?
Node.js的安全政策和漏洞报告信息可以在其GitHub页面找到。
➡️
