1064浏览量

[漏洞公告] Node.js拒绝服务漏洞风险通告(CVE-2021-22883)

来源: 时间:2021-02-24

漏洞详情:

CVE-2021-22883: 据官方说明,当受影响的Node.js版本使用“ unknownProtocol”建立的连接尝试过多时,容易遭到拒绝服务攻击,并也会同时导致文件描述符泄漏。 如果在系统上配置了文件描述符限制,则服务器将无法接受新的连接并阻止进程打开文件。 如果未配置文件描述符限制,则将导致过多的内存使用并最终导致系统内存不足。


影响版本:

目前已发布的所有15.x, 14.x, 12.x 和 10.x版本: Node.js < v12.21.0 (LTS) Node.js < v10.24.0 (LTS) Node.js < v14.16.0 (LTS) Node.js < v15.10.0


安全版本:

Node.js v12.21.0 (LTS) Node.js v10.24.0 (LTS) Node.js v14.16.0 (LTS) Node.js v15.10.0 (当前)


修复建议:

目前官方已发布漏洞修复版本,请检查您的Node.js是否在受影响范围内,并综合评估漏洞可能对您造成危害,及修复工作对业务的影响,酌情修复。 如需修复,请你选择合理时间进行升级操作,通过官方渠道升级到修复版本。 

官方新版本下载链接: 

https://nodejs.org/en/blog/release/v10.24.0/ 

https://nodejs.org/en/blog/release/v12.21.0/ 

https://nodejs.org/en/blog/release/v14.16.0/ 

https://nodejs.org/en/blog/release/v15.10.0/ 

【备注】:建议您在安装补丁前做好数据备份工作,避免出现意外。


参考链接:

https://nodejs.org/en/blog/vulnerability/february-2021-security-releases/

联系我们

一次需求提交或许正是成就一个出色产品的开始。
欢迎填写表格或发送合作邮件至: qczsky@126.com

大理青橙科技

电话:13988578755 13988578755

邮箱:qczsky@126.com

地址:大理市下关龙都春天10层

如果您无法识别验证码,请点图片更换