Node.js v10.14.1 'Dubnium' 長期支援版釋出
Node.js v10.14.1 'Dubnium' 長期支援版釋出了,這是一個安全修復版本。所有 Node.js 使用者都可以在這裡獲取安全釋出摘要:
該版本包含以下 CVE 修復:
-
Node.js: 使用大型HTTP標頭拒絕服務 (CVE-2018-12121)
-
Node.js: Slowloris HTTP 拒絕服務 (CVE-2018-12122 / Node.js)
-
Node.js: 用於 javascript 協議的 URL 解析器中的主機名 Hostname spoofing (CVE-2018-12123)
-
OpenSSL: DSA 簽名生成中的計時漏洞 (CVE-2018-0734)
-
OpenSSL: ECDSA 簽名生成中的計時漏洞 (CVE-2019-0735)
穩定更改:
-
deps: 更新至 OpenSSL 1.1.0j,修復 CVE-2018-0734 和 CVE-2019-0735
-
http:
-
(CVE-2018-12121 / Matteo Collina)
-
HTTP 伺服器收到的標頭總數不得超過8192個位元組,以防止可能的拒絕服務攻擊。
-
現在超時40秒適用於接收 HTTP 標頭的伺服器。 可以使用 server.headersTimeout 調整此值。 如果在此期間內未完全接收到標頭,則會在下一個收到的塊上銷燬套接字。 與 server.setTimeout()結合使用,可以防止過多的資源保留和可能的拒絕服務。(CVE-2018-12122 / Matteo Collina)
-
url: 修復錯誤,該錯誤允許在使用帶有'javascript:'協議的 url.parse()解析 URL 時出現 Hostname spoofing。(CVE-2018-12123 / Matteo Collina)
詳細更新內容請檢視ofollow,noindex">釋出說明 。
下載地址: