Node.js v10.14.1 'Dubnium' 長期支援版釋出

摘要： Node.js v10.14.1 'Dubnium' 長期支援版釋出了，這是一個安全修復版本。所有 Node.js 使用者都可以在這裡獲取安全釋出摘要： 該版本包含以下 CVE 修復： Node.js: 使用大型HTTP標頭拒絕服務 (CVE...

Node.js v10.14.1 'Dubnium' 長期支援版釋出了，這是一個安全修復版本。所有 Node.js 使用者都可以在這裡獲取安全釋出摘要：

該版本包含以下 CVE 修復：

• Node.js: 使用大型HTTP標頭拒絕服務 (CVE-2018-12121)

• Node.js: Slowloris HTTP 拒絕服務 (CVE-2018-12122 / Node.js)

• Node.js: 用於 javascript 協議的 URL 解析器中的主機名 Hostname spoofing (CVE-2018-12123)

• OpenSSL: DSA 簽名生成中的計時漏洞 (CVE-2018-0734)

• OpenSSL: ECDSA 簽名生成中的計時漏洞 (CVE-2019-0735)

穩定更改：

• deps: 更新至 OpenSSL 1.1.0j，修復 CVE-2018-0734 和 CVE-2019-0735

• http:

• (CVE-2018-12121 / Matteo Collina)

• HTTP 伺服器收到的標頭總數不得超過8192個位元組，以防止可能的拒絕服務攻擊。

• 現在超時40秒適用於接收 HTTP 標頭的伺服器。 可以使用 server.headersTimeout 調整此值。 如果在此期間內未完全接收到標頭，則會在下一個收到的塊上銷燬套接字。 與 server.setTimeout（）結合使用，可以防止過多的資源保留和可能的拒絕服務。(CVE-2018-12122 / Matteo Collina)

• url: 修復錯誤，該錯誤允許在使用帶有'javascript：'協議的 url.parse（）解析 URL 時出現 Hostname spoofing。(CVE-2018-12123 / Matteo Collina)

詳細更新內容請檢視ofollow,noindex">釋出說明 。

下載地址：