IT资讯 Node.js v14.20.1、16.17.1 & 18.9.1 发布

ray · 2022-09-26 17:30:06 · 热度: 62

Node.js 发布了 3 个更新,分别是 14.20.1 (LTS)、16.17.1 (LTS) 和 18.9.1。三个版本的主要更新都是修复安全问题。

14.20.1 (LTS)

  • CVE-2022-32212: 在 macOS 上的 --inspect 中重新绑定 DNS(高危)
  • CVE-2022-32213: 通过 obs-fold 机制实现的绕过(中等)
  • CVE-2022-35256: 由于对 Header Fields 的解析不正确,出现 HTTP Request Smuggling 问题(中等)

16.17.1 (LTS)

  • CVE-2022-32212: 在 macOS 上的 --inspect 中重新绑定 DNS(高危)
  • CVE-2022-32213: 通过 obs-fold 机制实现的绕过(中等)
  • CVE-2022-35255: WebCrypto 密钥中的弱随机性
  • CVE-2022-35256: 由于对 Header Fields 的解析不正确,出现 HTTP Request Smuggling 问题(中等)

18.9.1

  • CVE-2022-32212: 在 macOS 上的 --inspect 中重新绑定 DNS(高危)
    • 对 v18.5.0 上的 macOS 设备未完全修复
  • CVE-2022-32222: 在 macOS 上启动时从 /home/iojs/build/ 读取openssl.cnf(中等)
  • CVE-2022-32213: HTTP Request Smuggling - Flawed Parsing of Transfer-Encoding (Medium)
    • Insufficient fix on v18.5.0
  • CVE-2022-32215: HTTP Request Smuggling - Incorrect Parsing of Multi-line Transfer-Encoding (Medium)
    • Insufficient fix on v18.5.0
  • CVE-2022-35256: 由于对 Header Fields 的解析不正确,出现 HTTP Request Smuggling 问题(中等)
  • CVE-2022-35255: WebCrypto 密钥中的弱随机性

下载地址

为您推荐与 nodejs 相关的帖子:

暂无回复。
需要 登录 后方可回复, 如果你还没有账号请点击这里 注册