打开微信“扫一扫”,开启安全数字世界之旅
香港正版精选资料
截图或长按保存至相册,使用微信扫一扫
首页 > 关于我们 > 企业新闻

新闻与活动

亚信安全最新资讯与活动。

警惕!Node.js曝远程代码执行高危漏洞
发布时间 :2021年08月04日
类型 :勒索软件
分享:

漏洞描述

近日,亚信安全CERT监控到Node.js官方发布更新,修复了组件中存在的远程代码执行漏洞(CVE-2021-22930)。此漏洞为释放后重用漏洞,因其对传入的RST_STREAM帧不正确解析强制清除数据时,nghttp2会关闭相关已被破坏的数据流,从而导致double-free错误。攻击者可利用此漏洞破坏进程,远程执行任意代码,进而控制服务器。


漏洞编号

CVE-2021-22930


漏洞类型

远程代码执行

漏洞等级

高危,CVSS:9.1

受影响的版本

Node.js 12.x < 12.22.4 (LTS)

Node.js 14.x < 14.17.4 (LTS)

Node.js 16.x < 16.6.0 (Current)

修复建议

1.检测当前版本,在node.js的安装目录输入:node -v

111.jpg

2.如果当前版本非最新版本,请更新至官方安全版本:

Node.js v12.22.4 (LTS)

Node.js v14.17.4 (LTS)

Node.js v16.6.0 (Current)


参考链接

https://nodejs.org/en/blog/vulnerability/july-2021-security-releases-2/#use-after-free-on-close-http2-on-stream-canceling-high-cve-2021-22930


https://github.com/nodejs/node/pull/39423


https://github.com/nodejs/node/issues/38964

分享到微信
X