ノードに埋め込まれたHTTPサーバーの内部で検出された脆弱性

Matthew Daleyは、Nodeエンジンに組み込まれたHTTPサーバーのコードにこのようなエラー（または単なるタイプミス： 「 size_ 」の代わりに「 size 」を使用）があることを 発見しました。サーバーがリクエストの実際のサイズを大幅に過大評価し、近隣の外部HTTPリクエストのコンテンツを含めるという事実（たとえば、他の誰かのCookieはサーバーに転送される変数の一部になります。また、画面にすぐに表示されるものの変数の場合、クラッカー攻撃は簡単にレンダリングできます SYAに成功）。



Nodeバージョン0.5.x および0.6.xのすべてのユーザーは、すぐにNode をバージョン0.6.17にアップグレードする必要があります。0.7 ブランチの実験バージョンの所有者は、0.7.8にアップグレードする必要があります。 （バージョン0.4.xにはこのエラーは含まれていませんが、もし私があなただったら、とにかく古いので更新します。）



これはNodeブログでアラートを公​​開しました。



同時に、この例では、あまりにも近い変数名は、多くの場合、不快で誤字を検出するのが難しいという事実について考えることをお勧めします。 コードに「 time 」変数があり、別の変数を作成する必要がある場合は、 「 finishedTime 」 または「 deliveryTimeの精神で、その意味を考慮して、 「 time1 」、 「 _time 」、 「 dtime 」ではなく名前を付けてください"、 Or" nextTime "-名前が1文字違う場合よりも、本物で不便であることが判明した場合でも。



また、この例から、プロジェクトコードが開いていて開発が開いている場合、コミットの外観（ バージョン0.6 または 0.7）によって、思慮深い読者は修正されたエラーの真の強さと重要性を簡単に推測できることも明らかです。 したがって、非表示にする意味はありませんが、更新の必要性に関する十分なインセンティブストーリーをできるだけ迅速かつできるだけ広くユーザーに広める必要があります。



Habrahabrで録音することで、このディストリビューションに貢献したいと思っています。