国内成立最早的白癜风医院 https://baike.baidu.com/item/北京中科白癜风医院/9728824近日,Node.js发布了年第一个安全更新,其中包括一个TLSWrap的use-after-free高危漏洞,可能被利用来破坏内存,从而导致拒绝服务攻击。TLSWrap的use-after-free漏洞(高危:CVE--)受影响的Node.js版本在使用TLS时容易遭受到“Use-After-Free”攻击。当写入启用了TLS的套接字时,node::StreamBase::Write会调用node::TLSWrap::DoWrite方法,并使用新分配的WriteWrap对象作为第一个参数。如果DoWrite方法未返回错误,则此对象作为StreamWriteResult结构的一部分传递回调用方。这可能被利用来破坏内存,从而导致拒绝服务或其他潜在的利用。该漏洞最早由GoogleProjectZero的FelixWilhelm报告,受影响的版本包括:15.x、14.x、12.x和10.x。HTTPRequestSmuggling漏洞(低危:CVE--)受影响的Node.js版本允许在HTTP请求头中存在字段的两个副本,例如两个Transfer-Encoding字段。这可能导致产生HTTPRequestSmuggling漏洞。该漏洞最早由TSRC报告,受影响的版本包括:15.x、14.x、12.x和10.x。下图是一个HTTPRequestSmuggling的案例:OpenSSL空指针解引用漏洞(高危:CVE--)这其实是OpenSSL的一个高危漏洞,受影响的Node.js可以利用该漏洞。受影响的版本包括:14.x、12.x和10.x。除以上列出的漏洞之外,这次安全更新还包括对npm的更新,解决一些安全扫描程序对npm报告的问题。
转载请注明:http://www.aierlanlan.com/rzfs/8085.html
