Node.js在上週五對所有分支版本釋出更新,共修正3個漏洞,包含影響資料完整性與保密性的安全更新。
漏洞主要發生在Node.js的HTTP2、TLS模組和底層OpenSSL函式庫溝通階段,這項編號CVE-2017-15896的Node.js漏洞與OpenSSL的漏洞CVE-2017-3737直接相關。
OpenSSL開發者解釋,SSL_read()以及SSL_write()兩個函式可能因為之前的交握過程發生錯誤,而導致資料未被正確加密與解密。而駭客便可利用OpenSSL的這個漏洞,使用Node.js的TLS或HTTP/2模組繞過TLS的授權或加密動作傳送資料。這個漏洞嚴重影響Node.js應用程式的資料安全,開發者應盡速將Node.js更新到以下版本,Node v9.2.1、Node v8.9.3、Node v6.12.2和Node v4.8.7。
值得一提的是,Node.js的這項漏洞僅影響TLS與HTTP/2模組,HTTP與HTTPS模組則不受影響。而此次Node.js的v8.x與v9.x還修正了可能會造成洩漏資料的未初始化緩存的漏洞CVE-2017-15897,不過因為這個漏洞還要加上其他程式碼編寫錯誤才會成立,因此嚴重性並不高。
from iThome 新聞 http://ift.tt/2zaKjPd
運動彩券 | 最高返水0.98精彩運動MLB、NBA比賽、直播
六合彩球 | 香港六合彩、大樂透、威力彩、今彩539
真人娛樂場 | 百家樂、德州撲克、麻將遊戲、21點、13支
電子遊戲 | 水果盤、捕魚達人千炮版、骰寶、輪盤
黃金期權 | 全新開放 、 股市 、 黃金 、 外幣
百鬼夜行 | 30線、4500倍、拉霸、五鬼運財
沒有留言:
張貼留言