Node.js 发布了 3 个更新,分别是 14.20.1 (LTS)、16.17.1 (LTS) 和 18.9.1。三个版本的主要更新都是修复安全问题。
14.20.1 (LTS)
- CVE-2022-32212: 在 macOS 上的 --inspect 中重新绑定 DNS(高危)
- CVE-2022-32213: 通过 obs-fold 机制实现的绕过(中等)
- CVE-2022-35256: 由于对 Header Fields 的解析不正确,出现 HTTP Request Smuggling 问题(中等)
16.17.1 (LTS)
- CVE-2022-32212: 在 macOS 上的 --inspect 中重新绑定 DNS(高危)
- CVE-2022-32213: 通过 obs-fold 机制实现的绕过(中等)
- CVE-2022-35255: WebCrypto 密钥中的弱随机性
- CVE-2022-35256: 由于对 Header Fields 的解析不正确,出现 HTTP Request Smuggling 问题(中等)
18.9.1
- CVE-2022-32212: 在 macOS 上的 --inspect 中重新绑定 DNS(高危)
- 对 v18.5.0 上的 macOS 设备未完全修复
- CVE-2022-32222: 在 macOS 上启动时从 /home/iojs/build/ 读取openssl.cnf(中等)
- CVE-2022-32213: HTTP Request Smuggling - Flawed Parsing of Transfer-Encoding (Medium)
- Insufficient fix on v18.5.0
- CVE-2022-32215: HTTP Request Smuggling - Incorrect Parsing of Multi-line Transfer-Encoding (Medium)
- Insufficient fix on v18.5.0
- CVE-2022-35256: 由于对 Header Fields 的解析不正确,出现 HTTP Request Smuggling 问题(中等)
- CVE-2022-35255: WebCrypto 密钥中的弱随机性
下载地址