watak

Node.js漏洞直接影响Express。因此,请留意Node.js漏洞并确保您使用的是最新的稳定版本的Node.js。

以下列表列举了指定版本更新中修复的Express漏洞。

注意:如果您认为您发现了Express中的安全漏洞,请参阅安全策略和过程。

4.x

  • 4.16.0

    • 依赖项forwarded已更新以解决漏洞。这可能会影响您的应用程序是否使用了下列API: ,req.hostreq.hostnamereq.ip,。req.ipsreq.protocol

    • 依赖项mime已更新以解决漏洞,但此问题不会影响Express。

    • 依赖项send已更新,以提供针对Node.js 8.5.0漏洞的保护。这仅影响在特定Node.js 8.5.0版上运行Express。

  • 4.15.5

    • 依赖项debug已更新以解决漏洞,但此问题不会影响Express。

    • 依赖项fresh已更新以解决漏洞。这会影响你的应用程序是否使用了下列API: ,express.staticreq.freshres.jsonres.jsonpres.send,。res.sendfile res.sendFileres.sendStatus

  • 4.15.3

    • 依赖项ms已更新以解决漏洞。如果不受信任的字符串输入被传递到这可能会影响你的应用程序maxAge中以下API选项:express.staticres.sendfile,和res.sendFile

  • 4.15.2

    • 依赖项qs已更新以解决漏洞,但此问题不会影响Express。更新到4.15.2是一种很好的做法,但不是解决此漏洞所必需的。

  • 4.11.1

    • 固定根路径泄露漏洞express.staticres.sendfile以及res.sendFile

  • 4.10.7

    • 修复了express.static(Advisory,CVE-2015-1164)中的开放式重定向漏洞。

  • 4.8.8

    • 修复了express.static(advisory,CVE-2014-6394)中的目录遍历漏洞。

  • 4.8.4

    • Node.js 0.10 fd在某些情况下会泄漏s,express.static并影响和res.sendfile。恶意请求可能导致fds泄漏并最终导致EMFILE错误和服务器无响应。

  • 4.8.0

    • 在查询字符串中具有极高索引的稀疏数组可能会导致进程耗尽内存并使服务器崩溃。

    • 极其嵌套的查询字符串对象可能会导致进程阻塞,并使服务器暂时无响应。

3.x

Express 3.x不再维护

自上次更新(2015年8月1日)以来,尚未解决3.x中已知和未知的安全问题。使用3.x行不应该被认为是安全的。

  • 3.19.1

    • 固定根路径泄露漏洞express.staticres.sendfile以及res.sendFile

  • 3.19.0

    • 修复了express.static(Advisory,CVE-2015-1164)中的开放式重定向漏洞。

  • 3.16.10

    • 修复了目录遍历漏洞express.static

  • 3.16.6

    • Node.js 0.10 fd在某些情况下会泄漏,express.static并影响和res.sendfile。恶意请求可能导致fds泄漏并最终导致EMFILE错误和服务器无响应。

  • 3.16.0

    • 在查询字符串中具有极高索引的稀疏数组可能会导致进程耗尽内存并导致服务器崩溃。

    • 极其嵌套的查询字符串对象可能会导致进程阻塞,并使服务器暂时无响应。

  • 3.3.0

    • 不支持的方法覆盖尝试的404响应容易受到跨站脚本攻击的影响。

Artikel sebelumnya: Artikel seterusnya: