Node.js 爆 HTTP 安全漏洞

11 May 2012

Node.js 官方博客今天宣称，其开发团队发现了一个 HTTP 服务器安全漏洞，使得应用程序存在泄露 HTTP 请求信息的风险。

据其博客文章介绍，此漏洞允许攻击者将 HTTP 协议分析器缓冲区的内容添加到请求信息的头文件中，使其伪装成正常 HTTP 请求信息。由于请求信息的回复内容通常是安全的，因此，攻击者可以利用这一点，非法获取泄露的其它 HTTP 请求信息的回复内容。

受此漏洞影响的版本有：

• 1. 5 分支所有版本
• 1. 6.17 版本之前的 0.6 分支所有版本
• 1. 7.8 版本之前的 0.7 分支所有版本

不过，0.4分支各版本暂未受此漏洞影响。

Node.js 团队强烈建议开发者升级到最新发布的 0. 6.17 稳定版或添加脚本以修复此漏洞。

详细信息：HTTP Server Security Vulnerability: Please upgrade to 0.6.17

修复脚本：https://github.com/joyent/node/commit/c9a231d