尊敬的用戶，您好！

近日，安全運(yùn)營中心監(jiān)測到，Node.js 官方發(fā)布多個安全更新，新版本修復(fù)了一個use-after-free漏洞（漏洞編號：CVE-2020-8265），及一個HTTP Request Smuggling漏洞（漏洞編號：CVE-2020-8287）。其中CVE-2020-8265 use-after-free漏洞危害相對較高，可重點(diǎn)關(guān)注，該漏洞被利用可造成破壞內(nèi)存，可導(dǎo)致拒絕服務(wù)或其他潛在的利用。

為避免您的業(yè)務(wù)受影響，棉花云安全建議您及時(shí)開展安全自查，如在受影響范圍，請您及時(shí)進(jìn)行更新修復(fù)，避免被外部攻擊者入侵。

漏洞詳情

CVE-2020-8265：

據(jù)官方說明，受影響的Node.js版本中，TLSWrap存在use-after-free漏洞。當(dāng)寫入TLS的套接字時(shí)，node::StreamBase::Write調(diào)用node::TLSWrap::DoWrite并使用新分配的WriteWrap對象作為第一個參數(shù)。如果DoWrite方法未返回錯誤，則此對象將作為StreamWriteResult結(jié)構(gòu)的一部分傳遞回調(diào)用方。 這可能被利用導(dǎo)致破壞內(nèi)存，從而最終導(dǎo)致拒絕服務(wù)或其他潛在的利用

CVE-2020-8287：

受影響的Node.js版本中，允許http請求頭中存在兩個副本。 例如，兩個Transfer-Encoding標(biāo)頭字段。在這種情況下，Node.js標(biāo)識第一個標(biāo)頭字段，而忽略第二個標(biāo)頭字段。 這可能會導(dǎo)致HTTP請求走私漏洞。

風(fēng)險(xiǎn)等級

CVE-2020-8265：高風(fēng)險(xiǎn)

CVE-2020-8287：低風(fēng)險(xiǎn)

漏洞風(fēng)險(xiǎn)

CVE-2020-8265：漏洞被利用可導(dǎo)致拒絕服務(wù)或其他潛在利用

CVE-2020-8287：漏洞被利用可導(dǎo)致 HTTP 請求走私。

影響版本

Node.js < v12.20.1 (LTS)

Node.js < v10.23.1 (LTS)

Node.js < v14.15.4 (LTS)

Node.js < v15.5.1 

安全版本

Node.js v12.20.1 (LTS)

Node.js v10.23.1 (LTS)

Node.js v14.15.4 (LTS)

Node.js v15.5.1 (當(dāng)前)

修復(fù)建議

目前官方已發(fā)布漏洞修復(fù)版本，請檢查您的Node.js是否在受影響范圍內(nèi)，并綜合評估漏洞可能對您造成危害，及修復(fù)工作對業(yè)務(wù)的影響，酌情修復(fù)。

如需修復(fù)，請你選擇合理時(shí)間進(jìn)行升級操作，通過官方渠道升級到修復(fù)版本。

官方新版本下載鏈接：

https://nodejs.org/en/blog/release/v12.20.1/ 

https://nodejs.org/en/blog/release/v10.23.1/ 

https://nodejs.org/en/blog/release/v14.15.4/ 

https://nodejs.org/en/blog/release/v15.5.1/ 

【備注】：建議您在安裝補(bǔ)丁前做好數(shù)據(jù)備份工作，避免出現(xiàn)意外。

漏洞參考

官方安全公告：