7*24小时技术支持
海外CN2服务器(客服1)
近日,网络应急团队监测到Node.js官方发布安全公告,修复了多个存在于 Node.js中的漏洞,其中,2个高危漏洞,4个中危漏洞。漏洞详情如下:
CVE-2022-32212 DNS重绑定
漏洞类型:DNS重绑定
风险等级:高危
漏洞描述:该漏洞是由于当提供无效的IPv4地址时,浏览器将向DNS服务器发出DNS请求,为攻击者控制的DNS服务器或MITM提供载体。攻击者可以欺骗DNS响应以执行重新绑定攻击,从而连接到WebSocket调试器,从而允许任意代码执行。
CVE-2022-32223 DLL劫持
漏洞类型:DLL劫持
风险等级:高危
漏洞描述:如果受害者在 Windows 机器上具有以下依赖项,则可以利用此漏洞:OpenSSL 已安装且“C:\Program Files\Common Files\SSL\openssl.cnf”存在。每当出现上述条件时,node.exe都会在当前用户目录中搜索providers.dll。之后,node.exe将尝试在 Windows 中按 DLL 搜索顺序进行搜索providers.dll。攻击者可以将恶意文件放置在providers.dll所在路径下利用此漏洞。
CVE-2022-32213 Transfer-Encoding头存在解析缺陷
漏洞类型:HTTP 请求走私
风险等级:中危
漏洞描述:该漏洞是由于模块中的解析器未正确解析和验证标头造成的 ,这可能会导致 HTTP 请求走私。
CVE-2022-32214 标头字段的限定不当漏洞
漏洞类型:HTTP 请求走私
风险等级:中危
漏洞描述:该漏洞是由于模块中的解析器不严格使用 CRLF 序列来分隔 HTTP 请求造成的,这可能会导致 HTTP 请求走私。
CVE-2022-32215 多行传输编码解析不正确
漏洞类型:HTTP 请求走私
风险等级:中危
漏洞描述:该漏洞是由于模块中的解析器无法正确处理多行标头造成的,这可能会导致 HTTP 请求走私。
CVE-2022-32222 启动时尝试读取openssl.cnf
漏洞类型:
风险等级:中危
漏洞描述:当 Node.js 在基于 linux 的系统上启动时,它会尝试读取/home/iojs/build/ws/out/Release/obj.target/deps/openssl/openssl.cnf,这通常不存在。在某些共享系统上,攻击者可能能够创建此文件,从而影响其他用户的默认 OpenSSL 配置。
【受影响版本】
v14.x <= Node.js < v14.20.0 (LTS)
v16.x <= Node.js < v16.16.0 (LTS)
v18.x <= Node.js < v18.5.0 (当前)
【安全版本】
Node.js v14.20.0 (LTS)
Node.js v16.16.0 (LTS)
Node.js v18.5.0(当前)
Node.js是一套建立在Google V8 JavaScript引擎之上的网络应用平台,主要用于构建高度可伸缩的应用程序,以及编写能够处理数万条且同时连接到一个物理机的连接代码。
Copyright 2009-2022 HKBGP Network
