关键漏洞信息总结 概述 发布版本: Node.js v18.x, v20.x, v21.x 将在2024年2月6日或之后发布新版本,以修复多个严重性和中等严重性的安全漏洞。 影响 高危问题: 4个 中等严重性问题: 4个 低危问题: 1个 关键漏洞细节 1. CVE-2024-24806: Code injection and privilege escalation through Linux capabilities 影响: 所有使用 Node.js 21.x 版本的用户 问题: 由于 Node.js 在权限提升进程中错误地应用了环境变量处理机制,导致未授权用户能够注入代码并继承进程的权限。 2. CVE-2024-22019: Reading unprocessed HTTP request with unbounded chunk extension allows DoS attacks 影响: 所有使用 Node.js 18.x, 20.x, 21.x 版本的用户 问题: 特制的 HTTP 请求会导致资源耗尽和服务拒绝,服务器会读取无限字节数,绕过常规限制。 3. CVE-2023-46809: Node.js is vulnerable to the Marvin Attack (timing variant of the Bleichenbacher attack) 影响: 所有使用 Node.js 18.x, 20.x, 21.x 版本的用户 问题: 密码库的私钥解密API存在漏洞,攻击者能够通过timing攻击解密RSA密文或伪造签名。 其他更新 Release Timing: 由于长时间的测试过程,更新发布时间调整至2月14日。 OpenSSL Security Updates: 包含对 OpenSSL 版本的升级,修复多个漏洞(如CVE-2023-5678, CVE-2023-6129等)。