Node.js Blog
·
2022年9月23日安全更新
💡
原文英文,约700词,阅读约需3分钟。
📝
内容提要
Node.js发布了针对多个安全漏洞的更新,包括CVE-2022-35255和CVE-2022-32212。用户需重新生成WebCrypto密钥,并评估加密数据的机密性。更新将于2022年9月22日发布,涵盖14.x、16.x和18.x版本的中高危问题。
🎯
关键要点
- Node.js发布了针对多个安全漏洞的更新,包括CVE-2022-35255和CVE-2022-32212。
- 用户需重新生成使用WebCrypto.subtle.generateKey()生成的密钥,并评估加密数据的机密性。
- 更新将于2022年9月22日发布,涵盖14.x、16.x和18.x版本的中高危问题。
- CVE-2022-32212在macOS设备上处理http://0.0.0.0 URL时存在特定行为,允许攻击者绕过DNS重绑定保护。
- Node.js v16.16.0和18.7.0中的llhttp解析器未正确处理多行Transfer-Encoding头,可能导致HTTP请求走私。
- Node.js 18及以后的版本在启动时尝试读取不存在的openssl.cnf文件,可能影响其他用户的OpenSSF配置。
- Node.js的安全团队需要额外一天的工作以确保二进制文件准备就绪,更新计划于2022年9月23日发布。
❓
延伸问答
Node.js的最新安全更新主要解决了哪些漏洞?
最新安全更新主要解决了CVE-2022-35255和CVE-2022-32212等多个漏洞。
用户在更新后需要采取哪些措施?
用户需重新生成使用WebCrypto.subtle.generateKey()生成的密钥,并评估加密数据的机密性。
此次更新适用于哪些Node.js版本?
此次更新适用于Node.js的14.x、16.x和18.x版本。
CVE-2022-32212漏洞的具体影响是什么?
CVE-2022-32212在macOS设备上处理http://0.0.0.0 URL时,允许攻击者绕过DNS重绑定保护。
Node.js的llhttp解析器存在什么问题?
llhttp解析器在Node.js v16.16.0和18.7.0中未正确处理多行Transfer-Encoding头,可能导致HTTP请求走私。
Node.js安全团队为何需要额外的工作时间?
Node.js安全团队需要额外一天的工作以确保二进制文件准备就绪,更新计划于2022年9月23日发布。
➡️
