一、概要

近日，華為云關(guān)注到Node.js官方發(fā)布最新安全版本公告，披露在v10.x，v12.x，v14.x和v15.x 所有發(fā)行版本中存在多個安全漏洞。

?  CVE-2020-8265：TLSWrap中的use-after-free（UAF）漏洞，可能被利用來破壞內(nèi)存，從而導(dǎo)致拒絕服務(wù)或可能的其他利用；

?  CVE-2020-8287：HTTP請求走私漏洞，可能會導(dǎo)致未經(jīng)授權(quán)訪問敏感數(shù)據(jù)或其他安全風(fēng)險；

華為云提醒使用Node.js的用戶盡快安排自檢并做好安全加固。

參考鏈接：

https://groups.google.com/g/nodejs-sec/c/kyzmwvQdUfs

二、威脅級別

威脅級別：【嚴(yán)重】

（說明：威脅級別共四級：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

影響版本：

Node.js < v10.23.1 (LTS)

Node.js < v12.20.1 (LTS)

Node.js < v14.15.4 (LTS)

Node.js < v15.5.1

安全版本：

Node.js v10.23.1（LTS）

Node.js v12.20.1（LTS）

Node.js v14.15.4（LTS）

Node.js v15.5.1（Current）

四、漏洞處置

目前官方已在最新版本中修復(fù)了該漏洞，請受影響的用戶及時升級至安全版本。

Node.js v10.23.1（LTS）

Node.js v12.20.1（LTS）

Node.js v14.15.4（LTS）

Node.js v15.5.1（Current）

注：修復(fù)漏洞前請將資料備份，并進行充分測試。