服務公告

全部公告 > 安全公告 > Node.js多個安全漏洞預警

Node.js多個安全漏洞預警

一、概要

近日，華為云關注到Node.js官方發(fā)布最新安全版本公告，披露在v10.x，v12.x，v14.x和v15.x 所有發(fā)行版本中存在多個安全漏洞。

? CVE-2020-8265：TLSWrap中的use-after-free（UAF）漏洞，可能被利用來破壞內存，從而導致拒絕服務或可能的其他利用；

? CVE-2020-8287：HTTP請求走私漏洞，可能會導致未經授權訪問敏感數據或其他安全風險；

華為云提醒使用Node.js的用戶盡快安排自檢并做好安全加固。

參考鏈接：

二、威脅級別

威脅級別：【嚴重】

（說明：威脅級別共四級：一般、重要、嚴重、緊急）

三、漏洞影響范圍

影響版本：

Node.js < v10.23.1 (LTS)

Node.js < v12.20.1 (LTS)

Node.js < v14.15.4 (LTS)

Node.js < v15.5.1

安全版本：

Node.js v10.23.1（LTS）

Node.js v12.20.1（LTS）

Node.js v14.15.4（LTS）

Node.js v15.5.1（Current）

四、漏洞處置

目前官方已在最新版本中修復了該漏洞，請受影響的用戶及時升級至安全版本。

注：修復漏洞前請將資料備份，并進行充分測試。