圖片來源: 

Node.js

Node.js在上週五對所有分支版本釋出更新,共修正3個漏洞,包含影響資料完整性與保密性的安全更新。

漏洞主要發生在Node.js的HTTP2、TLS模組和底層OpenSSL函式庫溝通階段,這項編號CVE-2017-15896的Node.js漏洞與OpenSSL的漏洞CVE-2017-3737直接相關。

OpenSSL開發者解釋,SSL_read()以及SSL_write()兩個函式可能因為之前的交握過程發生錯誤,而導致資料未被正確加密與解密。而駭客便可利用OpenSSL的這個漏洞,使用Node.js的TLS或HTTP/2模組繞過TLS的授權或加密動作傳送資料。這個漏洞嚴重影響Node.js應用程式的資料安全,開發者應盡速將Node.js更新到以下版本,Node v9.2.1、Node v8.9.3、Node v6.12.2和Node v4.8.7。

值得一提的是,Node.js的這項漏洞僅影響TLS與HTTP/2模組,HTTP與HTTPS模組則不受影響。而此次Node.js的v8.x與v9.x還修正了可能會造成洩漏資料的未初始化緩存的漏洞CVE-2017-15897,不過因為這個漏洞還要加上其他程式碼編寫錯誤才會成立,因此嚴重性並不高。


Advertisement

更多 iThome相關內容