Node.js v12.8.1 发布,修复多个安全漏洞
Node.js v12.8.1 已经发布,Node.js是基于Chrome V8引擎的JavaScript运行时。 Node.js使用高效,轻量级,事件驱动的非阻塞I/O模型。
Node.js v12.8.1 更新日志:
漏洞修复:
CVE-2019-9511 “Data Dribble”:攻击者通过多个流从指定资源请求大量数据。它们操纵窗口大小和流优先级以强制服务器以1字节块的形式对数据进行排队。根据此数据排队的效率,这可能会消耗过多的CPU,内存或两者,从而可能导致拒绝服务。
CVE-2019-9512 “Ping Flood”:攻击者向HTTP/2对等体发送连续ping,使对等体建立内部响应队列。根据此数据排队的效率,这可能会消耗过多的CPU,内存或两者,从而可能导致拒绝服务。
CVE-2019-9513 “Resource Loop”:攻击者创建多个请求流,并以一种导致优先级大量流失的方式不断地改变流的优先级。这可能会消耗过多的CPU,可能导致拒绝服务。
CVE-2019-9514 “Reset Flood”:攻击者打开多个流,并在每个流上发送一个无效请求,该请求应从对等方请求RST_STREAM帧流。根据对等体如何对RST_STREAM帧进行排队,这会消耗过多的内存,CPU或两者,从而可能导致拒绝服务。
CVE-2019-9515 “Settings Flood”:攻击者向对等体发送一组SETTINGS帧。由于RFC要求对等体回复每个SETTINGS帧有一个确认,因此空的SETTINGS帧在行为上与ping几乎相同。根据此数据排队的效率,这可能会消耗过多的CPU,内存或两者,从而可能导致拒绝服务。
CVE-2019-9516 “0-Length Headers Leak”:攻击者发送带有0长度标头名称和0长度标头值的标头流,可选择将霍夫曼编码为1字节或更大标头。某些实现为这些头分配内存并使分配保持活动直到会话终止。这可能会消耗过多的内存,可能导致拒绝服务。
CVE-2019-9517 “Internal Data Buffering”:攻击者打开HTTP / 2窗口,以便对等体可以无限制地发送;但是,它们会使TCP窗口关闭,因此对等体实际上无法在线路上写入(许多)字节。然后,攻击者发送大量响应对象的请求流。根据服务器对响应进行排队的方式,这可能会消耗过多的内存,CPU或两者,从而可能导致拒绝服务。
CVE-2019-9518 “Empty Frames Flood”:攻击者发送一个空的有效载荷并没有流末尾标志的帧流。这些帧可以是DATA,HEADERS,CONTINUATION和/或PUSH_PROMISE。对等体花费时间处理每个帧与攻击带宽不成比例。这可能会消耗过多的CPU,可能导致拒绝服务。 (由谷歌的Piotr Sikora发现)
下面关于Node.js的内容你可能也喜欢:
如何在Linux中编写您的第一个Node.js应用程序 https://www.linuxidc.com/Linux/2019-01/156561.htm
在 Ubuntu 14.04/15.04 上安装配置 Node.js v4.0.0 https://www.linuxidc.com/Linux/2015-10/123951.htm
如何在CentOS 7安装Node.js https://www.linuxidc.com/Linux/2015-02/113554.htm
Ubuntu 14.04下搭建Node.js开发环境 https://www.linuxidc.com/Linux/2014-12/110983.htm
CentOS 6.9安装配置Node.js https://www.linuxidc.com/Linux/2017-10/147665.htm
Node.Js入门[PDF+相关代码] https://www.linuxidc.com/Linux/2013-06/85462.htm
Node.js调试图文详解 https://www.linuxidc.com/Linux/2017-03/141636.htm
Node.js开发指南 高清PDF中文版 +源码 https://www.linuxidc.com/Linux/2014-09/106494.htm
Linux下安装Node.js详细完整教程 https://www.linuxidc.com/Linux/2017-01/139726.htm
Ubuntu 16.04 64位 搭建 Node.js NodeJS 环境 https://www.linuxidc.com/Linux/2016-09/135487.htm
CentOS 7.5上安装Node.js搭建Ghost个人博客 https://www.linuxidc.com/Linux/2018-10/155071.htm
- Mozilla公司发布更新 修复火狐十个安全漏洞
- Debian 发布安全更新修复近期披露的英特尔 MDS 安全漏洞
- 微软发布本月16个安全补丁 修复34个漏洞
- 微软下周二将发布2个安全公告 修复8个Windows和Office漏洞
- Apple发布iOS 12.1.4,macOS 10.14.3更新以修复FaceTime安全漏洞
- Google为Pixel设备发布2019年3月Android安全补丁,修复45个安全漏洞
- Node.js中安全调用系统命令的方法(避免注入安全漏洞)
- Adobe发布3月安全更新,修复任意代码执行漏洞
- VMware Workstation Pro 15.0.3发布,修复危险的安全漏洞
- 游戏安全资讯精选 2017年 第四期:游戏行业上周最大DDoS流量超770G, 魔兽世界遭遇DDoS攻击,开源CMS Drupal 8发布更新修复多处高危漏洞补丁
- Google Chrome 1.0.154.46稳定版本发布 修复高危安全漏洞
- 苹果发布重要iOS更新,修复23个安全漏洞,强烈建议更新
- 绿盟科技紧急通告:微软发布安全公告并修复多个严重安全漏洞
- 【每日安全资讯】phpMyAdmin 4.8.5 发布 修复重要安全漏洞
- VMware发布产品补丁 修复一些安全漏洞
- 微软下周将发布重磅安全公告 修复40个漏洞
- Spring Boot 1.5.10 发布:修复重要安全漏洞!!!
- 微软发布十月份安全公告 将修复四个严重安全漏洞
- Debian GNU/Linux 9.8 发布,超过180个安全更新和漏洞修复
- Node.js中安全调用系统命令的方法(避免注入安全漏洞)