Node.js 发布了 3 个更新,分别是 14.20.1 (LTS)、16.17.1 (LTS) 和 18.9.1。三个版本的主要更新都是修复安全问题。
14.20.1 (LTS)
- CVE-2022-32212: 在 macOS 上的 --inspect 中重新绑定 DNS(高危)
- CVE-2022-32213: 通过 obs-fold 机制实现的绕过(中等)
- CVE-2022-35256: 由于对 Header Fields 的解析不正确,出现 HTTP Request Smuggling 问题(中等)
16.17.1 (LTS)
- CVE-2022-32212: 在 macOS 上的 --inspect 中重新绑定 DNS(高危)
- CVE-2022-32213: 通过 obs-fold 机制实现的绕过(中等)
- CVE-2022-35255: WebCrypto 密钥中的弱随机性
- CVE-2022-35256: 由于对 Header Fields 的解析不正确,出现 HTTP Request Smuggling 问题(中等)
18.9.1
- CVE-2022-32212: 在 macOS 上的 --inspect 中重新绑定 DNS(高危)
- 对 v18.5.0 上的 macOS 设备未完全修复
- CVE-2022-32222: 在 macOS 上启动时从 /home/iojs/build/ 读取openssl.cnf(中等)
- CVE-2022-32213: HTTP Request Smuggling - Flawed Parsing of Transfer-Encoding (Medium)
- Insufficient fix on v18.5.0
- CVE-2022-32215: HTTP Request Smuggling - Incorrect Parsing of Multi-line Transfer-Encoding (Medium)
- Insufficient fix on v18.5.0
- CVE-2022-35256: 由于对 Header Fields 的解析不正确,出现 HTTP Request Smuggling 问题(中等)
- CVE-2022-35255: WebCrypto 密钥中的弱随机性
下载地址
为您推荐与 nodejs 相关的帖子:
- Node.js 正式发布 18.13.0 带来了这些特性
- Node.js v19.4.0 发布
- Node.js v19.9.0 发布
- Node.js 20 正式发布,引入权限控制
- Node.js v20.3.0 发布
- Node.js v20.3.1 发布
- Node.js v20.4.0 发布
- Node.js v18.17.0 (LTS) 发布
- Node.js v16.20.2、v18.17.1 & v20.5.1 发布
- Node.js 21 正式发布
- Node.js 21.2.0 发布
- Node.js v20.10.0 (LTS)
- Node.js 21.3.0 发布
- Node.js v18.19.0 (LTS) 发布
- Node.js v22 正式发布
暂无回复。