您的位置:首页 > Web前端 > Node.js

Node.js v12.8.1 发布,修复多个安全漏洞

2019-08-16 00:00 1001 查看

Node.js v12.8.1 已经发布,Node.js是基于Chrome V8引擎的JavaScript运行时。 Node.js使用高效,轻量级,事件驱动的非阻塞I/O模型。

Node.js v12.8.1 更新日志:

漏洞修复:

CVE-2019-9511 “Data Dribble”:攻击者通过多个流从指定资源请求大量数据。它们操纵窗口大小和流优先级以强制服务器以1字节块的形式对数据进行排队。根据此数据排队的效率,这可能会消耗过多的CPU,内存或两者,从而可能导致拒绝服务。

CVE-2019-9512 “Ping Flood”:攻击者向HTTP/2对等体发送连续ping,使对等体建立内部响应队列。根据此数据排队的效率,这可能会消耗过多的CPU,内存或两者,从而可能导致拒绝服务。

CVE-2019-9513 “Resource Loop”:攻击者创建多个请求流,并以一种导致优先级大量流失的方式不断地改变流的优先级。这可能会消耗过多的CPU,可能导致拒绝服务。

CVE-2019-9514 “Reset Flood”:攻击者打开多个流,并在每个流上发送一个无效请求,该请求应从对等方请求RST_STREAM帧流。根据对等体如何对RST_STREAM帧进行排队,这会消耗过多的内存,CPU或两者,从而可能导致拒绝服务。

CVE-2019-9515 “Settings Flood”:攻击者向对等体发送一组SETTINGS帧。由于RFC要求对等体回复每个SETTINGS帧有一个确认,因此空的SETTINGS帧在行为上与ping几乎相同。根据此数据排队的效率,这可能会消耗过多的CPU,内存或两者,从而可能导致拒绝服务。

CVE-2019-9516 “0-Length Headers Leak”:攻击者发送带有0长度标头名称和0长度标头值的标头流,可选择将霍夫曼编码为1字节或更大标头。某些实现为这些头分配内存并使分配保持活动直到会话终止。这可能会消耗过多的内存,可能导致拒绝服务。

CVE-2019-9517 “Internal Data Buffering”:攻击者打开HTTP / 2窗口,以便对等体可以无限制地发送;但是,它们会使TCP窗口关闭,因此对等体实际上无法在线路上写入(许多)字节。然后,攻击者发送大量响应对象的请求流。根据服务器对响应进行排队的方式,这可能会消耗过多的内存,CPU或两者,从而可能导致拒绝服务。

CVE-2019-9518 “Empty Frames Flood”:攻击者发送一个空的有效载荷并没有流末尾标志的帧流。这些帧可以是DATA,HEADERS,CONTINUATION和/或PUSH_PROMISE。对等体花费时间处理每个帧与攻击带宽不成比例。这可能会消耗过多的CPU,可能导致拒绝服务。 (由谷歌的Piotr Sikora发现)

下面关于Node.js的内容你可能也喜欢

如何在Linux中编写您的第一个Node.js应用程序  https://www.linuxidc.com/Linux/2019-01/156561.htm

Ubuntu 14.04/15.04 上安装配置 Node.js v4.0.0  https://www.linuxidc.com/Linux/2015-10/123951.htm
如何在CentOS 7安装Node.js https://www.linuxidc.com/Linux/2015-02/113554.htm
Ubuntu 14.04下搭建Node.js开发环境  https://www.linuxidc.com/Linux/2014-12/110983.htm
CentOS 6.9安装配置Node.js https://www.linuxidc.com/Linux/2017-10/147665.htm
Node.Js入门[PDF+相关代码] https://www.linuxidc.com/Linux/2013-06/85462.htm
Node.js调试图文详解  https://www.linuxidc.com/Linux/2017-03/141636.htm
Node.js开发指南 高清PDF中文版 +源码 https://www.linuxidc.com/Linux/2014-09/106494.htm
Linux下安装Node.js详细完整教程  https://www.linuxidc.com/Linux/2017-01/139726.htm
Ubuntu 16.04 64位 搭建 Node.js NodeJS 环境  https://www.linuxidc.com/Linux/2016-09/135487.htm
CentOS 7.5上安装Node.js搭建Ghost个人博客 https://www.linuxidc.com/Linux/2018-10/155071.htm

Node.js 的详细介绍请点这里
Node.js 的下载地址请点这里

内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 点击这里给我发消息
标签:  Node.js