Node v12.8.1 (Current) 发布,修复漏洞

栏目: 软件资讯 · 发布时间: 5年前

内容简介:Node v12.8.1 (Current) 已经发布,Node.js 和 其他 HTTP/2 的实现,已被发现易受拒绝服务攻击,该版主要修复存在漏洞: CVE-2019-9511 “Data Dribble”:攻击者通过多个流请求来自指定资源的大量数据。它们操纵窗...

Node v12.8.1 (Current) 已经发布,Node.js 和 其他 HTTP/2 的实现,已被发现易受拒绝服务攻击,该版主要修复存在漏洞:

  • CVE-2019-9511 “Data Dribble”:攻击者通过多个流请求来自指定资源的大量数据。它们操纵窗口大小和流优先级,迫使服务器以 1 字节块对数据进行排队。这依赖数据排队的效率,可能会消耗过多的 CPU、内存,导致拒绝服务。
  • CVE-2019-9512 “Ping Flood”:攻击者不断向 HTTP/2 对等点发送 ping,导致对等方构建内部响应队列。它依赖数据排队的效率,可能会消耗过多的 CPU、内存,导致拒绝服务。
  • CVE-2019-9513 “Resource Loop”:攻击者创建多个请求流,并不断地调整流的优先级,从而导致优先级树的混乱。这会消耗过多的 CPU,可能导致拒绝服务。
  • CVE-2019-9514 “Reset Flood”:攻击者打开多个流,并在每个流上发送无效请求,请求来自对等方的 RST_Flow 帧流。这依赖对等方如何对 RST_Flow 帧进行排队,可能会消耗过多的内存、CPU,导致拒绝服务。
  • CVE-2019-9515 “Settings Flood”:攻击者向对等方发送设置帧流。由于 RFC 要求对等方回复每个设置帧有一个确认,空设置帧在行为上几乎等同于ping。这取决于数据排队的效率,可能会消耗过多的 CPU、内存,导致拒绝服务。
  • CVE-2019-9516 “0-Length Headers Leak”: 攻击者发送具有 0 长度标头名称和 0 长度标头值的头流,还可以选择将 Huffman 编码为 1 字节或更高的标头。一些实现为这些头分配内存,并将分配保持在活动状态直到会话结束。这会消耗过多的内存,可能导致拒绝服务。
  • CVE-2019-9517 “Internal Data Buffering”: 攻击者打开 HTTP/2 窗口,以便对等方可以不受约束地发送;但是,他们将 TCP 窗口关闭,因此对等方实际上无法在线路上写入(许多)字节。然后,攻击者发送针对大型响应对象的请求流。根据服务器如何对响应进行排队,这可能会消耗过多的内存、CPU,从而可能导致拒绝服务。
  • CVE-2019-9518 “Empty Frames Flood”: 攻击者发送带有空有效负载且没有流结束标志的帧流。这些框架可以是 DATA、HEADERS、CONTINUATION 或 PUSH_BORY。对等方花费时间处理与攻击带宽不成比例的每一帧。这会消耗过多的 CPU,可能导致拒绝服务。

详情见发布说明:

https://nodejs.org/en/blog/release/v12.8.1 


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

XML完全探索

XML完全探索

Steven Holzner / 中国青年出版社 / 2001-10 / 89.00

《XML完全探索》是完全根据读者的需要而设计的,书中有大量实际的XML场景。是一本尽可能深入地阐述XML的书籍,与其他XML书籍不同,本书中给出了上百个示例代码,完全测试通过,可供使用。 本书将帮助您:精通所有的从XML语法到XLink、从 XPointer到XML模式的XML标准;使用XSL和XSL格式化对象;使用XML和层叠样式表;利用Java和JavaScript,使用DOM解析器和一起来看看 《XML完全探索》 这本书的介绍吧!

在线进制转换器
在线进制转换器

各进制数互转换器

XML、JSON 在线转换
XML、JSON 在线转换

在线XML、JSON转换工具

正则表达式在线测试
正则表达式在线测试

正则表达式在线测试