一、概要

近日，華為云關注到Node.js官方發(fā)布最新安全版本公告，披露在v12.x，v14.x和v15.x 相應的Node.js版本中存在一處高風險的拒絕服務漏洞（CVE-2020-8277）。受影響的Node.js應用允許攻擊者對目標主機發(fā)送DNS請求，利用Node.js應用解析大量響應的DNS記錄來對目標主機實現(xiàn)拒絕服務攻擊。

華為云提醒使用Node.js的用戶盡快安排自檢并做好安全加固。

參考鏈接：

https://nodejs.org/en/blog/vulnerability/november-2020-security-releases/

二、威脅級別

威脅級別：【嚴重】

（說明：威脅級別共四級：一般、重要、嚴重、緊急）

三、漏洞影響范圍

影響版本：

Node.js 12.x: 12.16.3-12.19.1

Node.js 14.x: 14.13.0-14.15.1

Node.js 15.x全部版本

安全版本：

Node.js v12.19.1（LTS）

Node.js v14.15.1（LTS）

Node.js v15.2.1（Current）

四、漏洞處置

目前官方已在最新版本中修復了該漏洞，請受影響的用戶及時升級至安全版本。

Node.js v12.19.1 (LTS)

Node.js v14.15.1 (LTS)

Node.js v15.2.1 (Current)

注：修復漏洞前請將資料備份，并進行充分測試。