Node.js 爆 HTTP 安全漏洞,建议升级至 0.6.17 稳定版

jopen 12年前
   <p> Node.js <a href="/misc/goto?guid=4958339325389161609" target="_blank">官方博客</a>今天宣称,<strong>其开发团队发现了一个 HTTP 服务器安全漏洞,使得应用程序存在泄露 HTTP 请求信息的风险</strong>。</p>    <p> 据其博客文章介绍,<strong>此漏洞允许攻击者将 HTTP 协议分析器缓冲区的内容添加到请求信息的头文件中,使其伪装成正常 HTTP 请求信息</strong>。由于请求信息的回复内容通常是安全的,因此,攻击者可以利用这一点,<strong>非法获取泄露的其它 HTTP 请求信息的回复内容</strong>。</p>    <p> <strong>受此漏洞影响的版本有</strong>:</p>    <ul>     <li>0. 5 分支所有版本</li>     <li>0. 6.17 版本之前的 0.6 分支所有版本</li>     <li>0. 7.8 版本之前的 0.7 分支所有版本</li>    </ul>    <p>不过,0.4分支各版本暂未受此漏洞影响。</p>    <p> Node.js 团队强烈建议开发者升级到最新发布的 0. 6.17 稳定版或添加<a href="/misc/goto?guid=4958339326194765526" target="_blank">脚本</a>以修复此漏洞。</p>    <p> <strong>详细信息</strong>:<a href="/misc/goto?guid=4958339325389161609" target="_blank">HTTP Server Security Vulnerability: Please upgrade to 0.6.17</a></p>    <p> <strong>修复脚本</strong>:<a href="/misc/goto?guid=4958339326194765526" target="_blank">https://github.com/joyent/node/commit/c9a231d</a></p>