Tüm güvenlik sorunları düzeltildi – şimdi güncelleyin
Node.js bakımcıları, JavaScript çalışma zamanı ortamında rastgele kod yürütülmesine neden olabilecek güvenlik açıkları için birden çok düzeltme yayınladı ve HTTP istek kaçakçılığıdiğer saldırıların yanı sıra.
İçinde bir tavsiye Dün gece (7 Temmuz) yayınlanan, üç ayrı HTTP İstek Kaçakçılığı güvenlik açığı da dahil olmak üzere, şimdi yamalı yedi hatanın ayrıntıları yayınlandı.
Güvenlik açıklarıyla ilgili en son haberleri okuyun
Bu üç güvenlik açığı – CVE-2022-32213 olarak izlenen, aktarım kodlama hatasının hatalı bir ayrıştırması; CVE-2022-32214 olarak izlenen başlık alanlarının yanlış sınırlandırılması sorunu; ve CVE-2022-32215 olarak izlenen çok satırlı aktarım kodlama hatasının yanlış ayrıştırılması, tümü HTTP istek kaçakçılığına yol açabilir.
Tamamı orta derecede önem derecesine sahip bu hatalar, 18.x, 16.x ve 14.x sürüm satırlarının tüm sürümlerini etkiler. llhttp v6.0.7 ve llhttp v2.1.5, Node.js içinde güncellenen düzeltmeleri içerir.
Diğer sorunlar
Danışma belgesi, geçersiz IP adresleri aracılığıyla bir DNS yeniden bağlama güvenlik açığının ayrıntılarını da içerir.
Danışmanlık, yüksek önem derecesi olarak değerlendirilen hatanın (CVE-2022-32212) rastgele kod yürütülmesine izin verebileceği konusunda uyarıyor.
“Bir IP adresinin geçersiz olup olmadığını düzgün bir şekilde kontrol etmediğinden, kontrol kolayca atlanabilir.
“Geçersiz bir IPv4 adresi sağlandığında, tarayıcılar DNS sunucusuna DNS istekleri yapacak ve saldırgan tarafından kontrol edilen bir DNS sunucusu için bir vektör veya yeniden bağlama saldırısı gerçekleştirmek için DNS yanıtlarını taklit edebilen ve dolayısıyla WebSocket hata ayıklayıcısına bağlanarak izin veren bir MitM sağlayacaktır. keyfi kod yürütme için. Bu, CVE-2021-22884’ün bir baypas edilmesidir,” yazıyor. Güvenlik açığı, 18.x, 16.x ve 14.x sürüm satırlarının tüm sürümlerini etkiler.
Danışma belgesinde ayrıca Windows’ta bir DLL Ele Geçirme güvenlik açığı (CVE-2022-32223) ve CVE-2022-32222, bir saldırganın sistem başlangıcında openssl.cnf’yi okumaya çalışmasına olanak verebilecek orta düzeyde bir hata ayrıntılarını verir.
ARKA FON Yüksek önemde OpenSSL hatası, uzaktan kod yürütülmesine neden olabilir
Son olarak, sürüm aynı zamanda OpenSSL’deki bir güvenlik açığı için düzeltmeler içerir. önceden rapor edildi ile Günlük Swig.
Orta şiddette uygulama hatası (CVE-2022-2097), bazı durumlarda şifrelemenin başarısız olmasına neden olabilir.
AES-NI derlemesi için optimize edilmiş uygulamayı kullanan 32 bit x86 platformları için AES OCB modu, verilerin tamamını şifrelemez; bu, bellekte önceden var olan ve yazılmamış on altı baytlık veriyi ortaya çıkarabilir.
‘Yerinde’ şifrelemenin özel durumunda, düz metnin on altı baytı açığa çıkarılabilir.
OpenSSL, TLS ve DTLS için OCB tabanlı şifre takımlarını desteklemediğinden, ikisi de etkilenmez.
Tüm güvenlik açıkları, Node.js v14.20.0 (LTS), Node.js v16.16.0 (LTS) ve Node.js v18.5.0 (Mevcut) adlı en son sürümlerde düzeltildi.
ŞUNLAR DA HOŞUNUZA GİDEBİLİR Spring Data MongoDB, başka bir kritik SpEL enjeksiyon hatasına çarptı