Node.js 爆 HTTP 安全漏洞

Node.js 官方博客今天宣称,其开发团队发现了一个 HTTP 服务器安全漏洞,使得应用程序存在泄露 HTTP 请求信息的风险

据其博客文章介绍,此漏洞允许攻击者将 HTTP 协议分析器缓冲区的内容添加到请求信息的头文件中,使其伪装成正常 HTTP 请求信息。由于请求信息的回复内容通常是安全的,因此,攻击者可以利用这一点,非法获取泄露的其它 HTTP 请求信息的回复内容

受此漏洞影响的版本有

不过,0.4分支各版本暂未受此漏洞影响。

Node.js 团队强烈建议开发者升级到最新发布的 0. 6.17 稳定版或添加脚本以修复此漏洞。

详细信息HTTP Server Security Vulnerability: Please upgrade to 0.6.17

修复脚本https://github.com/joyent/node/commit/c9a231d