尊敬的用戶，您好！

近日，安全運營中心監(jiān)測到，Node.js 官方發(fā)布多個安全更新，新版本修復了一個use-after-free漏洞（漏洞編號：CVE-2020-8265），及一個HTTP Request Smuggling漏洞（漏洞編號：CVE-2020-8287）。其中CVE-2020-8265 use-after-free漏洞危害相對較高，可重點關注，該漏洞被利用可造成破壞內(nèi)存，可導致拒絕服務或其他潛在的利用。

為避免您的業(yè)務受影響，棉花云安全建議您及時開展安全自查，如在受影響范圍，請您及時進行更新修復，避免被外部攻擊者入侵。

漏洞詳情

CVE-2020-8265：

據(jù)官方說明，受影響的Node.js版本中，TLSWrap存在use-after-free漏洞。當寫入TLS的套接字時，node::StreamBase::Write調(diào)用node::TLSWrap::DoWrite并使用新分配的WriteWrap對象作為第一個參數(shù)。如果DoWrite方法未返回錯誤，則此對象將作為StreamWriteResult結構的一部分傳遞回調(diào)用方。 這可能被利用導致破壞內(nèi)存，從而最終導致拒絕服務或其他潛在的利用

CVE-2020-8287：

受影響的Node.js版本中，允許http請求頭中存在兩個副本。 例如，兩個Transfer-Encoding標頭字段。在這種情況下，Node.js標識第一個標頭字段，而忽略第二個標頭字段。 這可能會導致HTTP請求走私漏洞。

風險等級

CVE-2020-8265：高風險

CVE-2020-8287：低風險

漏洞風險

CVE-2020-8265：漏洞被利用可導致拒絕服務或其他潛在利用

CVE-2020-8287：漏洞被利用可導致 HTTP 請求走私。

影響版本

Node.js < v12.20.1 (LTS)

Node.js < v10.23.1 (LTS)

Node.js < v14.15.4 (LTS)

Node.js < v15.5.1 

安全版本

Node.js v12.20.1 (LTS)

Node.js v10.23.1 (LTS)

Node.js v14.15.4 (LTS)

Node.js v15.5.1 (當前)

修復建議

目前官方已發(fā)布漏洞修復版本，請檢查您的Node.js是否在受影響范圍內(nèi)，并綜合評估漏洞可能對您造成危害，及修復工作對業(yè)務的影響，酌情修復。

如需修復，請你選擇合理時間進行升級操作，通過官方渠道升級到修復版本。

官方新版本下載鏈接：

https://nodejs.org/en/blog/release/v12.20.1/ 

https://nodejs.org/en/blog/release/v10.23.1/ 

https://nodejs.org/en/blog/release/v14.15.4/ 

https://nodejs.org/en/blog/release/v15.5.1/ 

【備注】：建議您在安裝補丁前做好數(shù)據(jù)備份工作，避免出現(xiàn)意外。

漏洞參考

官方安全公告：