您的需求已经提交,我们将在48小时内联系您
全国服务热线:400-1000-221
确定
免费享受企业级云安全服务
获取手机验证码
{{message}}
免费试用

CVE-2021-22883:Node.js拒绝服务漏洞风险通告

作者:
发布时间:2021-02-24

  近日,Node.js 官方发布安全更新,此次更新涉及多个漏洞CVE-2021-22883、CVE-2021-22884、CVE-2021-23840。其中重点提示了高危拒绝服务漏洞CVE-2021-22883,该漏洞由于HTTP2'unknownProtocol’造成资源耗尽,从而导致拒绝服务。

  漏洞详情

  CVE-2021-22883:

  据官方说明,当受影响的Node.js版本使用“ unknownProtocol”建立的连接尝试过多时,容易遭到拒绝服务攻击,并也会同时导致文件描述符泄漏。 如果在系统上配置了文件描述符限制,则服务器将无法接受新的连接并阻止进程打开文件。 如果未配置文件描述符限制,则将导致过多的内存使用并最终导致系统内存不足。

  风险等级

  高风险

  漏洞风险

  漏洞被利用可导致拒绝服务

  影响版本

  目前已发布的所有15.x, 14.x, 12.x 和 10.x版本:

  Node.js < v12.21.0 (LTS)

  Node.js < v10.24.0 (LTS)

  Node.js < v14.16.0 (LTS)

  Node.js < v15.10.0

  安全版本

  Node.js v12.21.0 (LTS)

  Node.js v10.24.0 (LTS)

  Node.js v14.16.0 (LTS)

  Node.js v15.10.0 (当前)

  修复建议

  目前官方已发布漏洞修复版本,请检查您的Node.js是否在受影响范围内,并综合评估漏洞可能对您造成危害,及修复工作对业务的影响,酌情修复。

  如需修复,请你选择合理时间进行升级操作,通过官方渠道升级到修复版本。

  官方新版本下载链接:

  https://nodejs.org/en/blog/release/v10.24.0/

  https://nodejs.org/en/blog/release/v12.21.0/

  https://nodejs.org/en/blog/release/v14.16.0/

  https://nodejs.org/en/blog/release/v15.10.0/

  【备注】:建议您在安装补丁前做好数据备份工作,避免出现意外。

  漏洞参考

  官方安全公告:

  https://nodejs.org/en/blog/vulnerability/february-2021-security-releases/

标签: