内容简介:Node.js v10.14.1 'Dubnium' 长期支持版发布了,这是一个安全修复版本。所有 Node.js 用户都可以在这里获取安全发布摘要:该版本包含以下 CVE 修复:稳定更改:
Node.js v10.14.1 'Dubnium' 长期支持版发布了,这是一个安全修复版本。所有 Node.js 用户都可以在这里获取安全发布摘要:
该版本包含以下 CVE 修复:
-
Node.js: 使用大型HTTP标头拒绝服务 (CVE-2018-12121)
-
Node.js: Slowloris HTTP 拒绝服务 (CVE-2018-12122 / Node.js)
-
Node.js: 用于 javascript 协议的 URL 解析器中的主机名 Hostname spoofing (CVE-2018-12123)
-
OpenSSL: DSA 签名生成中的计时漏洞 (CVE-2018-0734)
-
OpenSSL: ECDSA 签名生成中的计时漏洞 (CVE-2019-0735)
稳定更改:
-
deps: 更新至 OpenSSL 1.1.0j,修复 CVE-2018-0734 和 CVE-2019-0735
-
http:
-
(CVE-2018-12121 / Matteo Collina)
-
HTTP 服务器收到的标头总数不得超过8192个字节,以防止可能的拒绝服务攻击。
-
现在超时40秒适用于接收 HTTP 标头的服务器。 可以使用 server.headersTimeout 调整此值。 如果在此期间内未完全接收到标头,则会在下一个收到的块上销毁套接字。 与 server.setTimeout()结合使用,可以防止过多的资源保留和可能的拒绝服务。(CVE-2018-12122 / Matteo Collina)
-
url: 修复错误,该错误允许在使用带有'javascript:'协议的 url.parse()解析 URL 时出现 Hostname spoofing。(CVE-2018-12123 / Matteo Collina)
详细更新内容请查看 发布说明 。
下载地址:
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:
- cURL 7.70.0 发布,原生支持 JSON、实验性支持 MQTT
- hi-nginx-1.5.2 发布,优化 cpp 支持,添加 groovy 支持
- hi-nginx-1.5.2 发布,优化 cpp 支持,添加 groovy 支持
- Spring Tools 4.3.0 发布,支持 Eclipse Theia 并弃用 Atom 支持
- Spring Tools 4.3.0 发布,支持 Eclipse Theia 并弃用 Atom 支持
- Tiki 20 发布,支持 markdown 语法
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Hacking Growth
Sean Ellis、Morgan Brown / Crown Business / 2017-4-25 / USD 29.00
The definitive playbook by the pioneers of Growth Hacking, one of the hottest business methodologies in Silicon Valley and beyond. It seems hard to believe today, but there was a time when Airbnb w......一起来看看 《Hacking Growth》 这本书的介绍吧!
