Node.js多个安全漏洞风险通告

　　近日Node.js 官方发布多个安全更新，新版本修复了一个use-after-free漏洞(漏洞编号：CVE-2020-8265)，及一个HTTP Request Smuggling漏洞(漏洞编号：CVE-2020-8287)。其中CVE-2020-8265 use-after-free漏洞危害相对较高，可重点关注，该漏洞被利用可造成破坏内存，可导致拒绝服务或其他潜在的利用。

　　漏洞详情

　　CVE-2020-8265：

　　据官方说明，受影响的Node.js版本中，TLSWrap存在use-after-free漏洞。当写入TLS的套接字时，node::StreamBase::Write调用node::TLSWrap::DoWrite并使用新分配的WriteWrap对象作为第一个参数。如果DoWrite方法未返回错误，则此对象将作为StreamWriteResult结构的一部分传递回调用方。 这可能被利用导致破坏内存，从而最终导致拒绝服务或其他潜在的利用

　　CVE-2020-8287：

　　受影响的Node.js版本中，允许http请求头中存在两个副本。 例如，两个Transfer-Encoding标头字段。在这种情况下，Node.js标识第一个标头字段，而忽略第二个标头字段。 这可能会导致HTTP请求走私漏洞。

　　风险等级

　　CVE-2020-8265：高风险

　　CVE-2020-8287：低风险

　　漏洞风险

　　CVE-2020-8265：漏洞被利用可导致拒绝服务或其他潜在利用

　　CVE-2020-8287：漏洞被利用可导致 HTTP 请求走私。

　　影响版本

　　Node.js < v12.20.1 (LTS)

　　Node.js < v10.23.1 (LTS)

　　Node.js < v14.15.4 (LTS)

　　Node.js < v15.5.1

　　安全版本

　　Node.js v12.20.1 (LTS)

　　Node.js v10.23.1 (LTS)

　　Node.js v14.15.4 (LTS)

　　Node.js v15.5.1 (当前)

　　修复建议

　　目前官方已发布漏洞修复版本，请检查您的Node.js是否在受影响范围内，并综合评估漏洞可能对您造成危害，及修复工作对业务的影响，酌情修复。

　　如需修复，请你选择合理时间进行升级操作，通过官方渠道升级到修复版本。

　　官方新版本下载链接：

　　https://nodejs.org/en/blog/release/v12.20.1/

　　https://nodejs.org/en/blog/release/v10.23.1/

　　https://nodejs.org/en/blog/release/v14.15.4/

　　https://nodejs.org/en/blog/release/v15.5.1/

　　【备注】：建议您在安装补丁前做好数据备份工作，避免出现意外。

　　漏洞参考

　　官方安全公告：https://nodejs.org/en/blog/