漏洞详情:
CVE-2021-22883: 据官方说明,当受影响的Node.js版本使用“ unknownProtocol”建立的连接尝试过多时,容易遭到拒绝服务攻击,并也会同时导致文件描述符泄漏。 如果在系统上配置了文件描述符限制,则服务器将无法接受新的连接并阻止进程打开文件。 如果未配置文件描述符限制,则将导致过多的内存使用并最终导致系统内存不足。
影响版本:
目前已发布的所有15.x, 14.x, 12.x 和 10.x版本: Node.js < v12.21.0 (LTS) Node.js < v10.24.0 (LTS) Node.js < v14.16.0 (LTS) Node.js < v15.10.0
安全版本:
Node.js v12.21.0 (LTS) Node.js v10.24.0 (LTS) Node.js v14.16.0 (LTS) Node.js v15.10.0 (当前)
修复建议:
目前官方已发布漏洞修复版本,请检查您的Node.js是否在受影响范围内,并综合评估漏洞可能对您造成危害,及修复工作对业务的影响,酌情修复。 如需修复,请你选择合理时间进行升级操作,通过官方渠道升级到修复版本。
官方新版本下载链接:
https://nodejs.org/en/blog/release/v10.24.0/
https://nodejs.org/en/blog/release/v12.21.0/
https://nodejs.org/en/blog/release/v14.16.0/
https://nodejs.org/en/blog/release/v15.10.0/
【备注】:建议您在安装补丁前做好数据备份工作,避免出现意外。
参考链接:
https://nodejs.org/en/blog/vulnerability/february-2021-security-releases/