7月4日、node.jsおよびio.jsの重大な脆弱性を修正したセキュリティ更新プログラムがリリースされました。 この脆弱性の本質は、バッファをUTF8に変換するときに、アプリケーションが文字列をクラッシュさせる可能性があることです。
公式メッセージのテキストの無料翻訳を引用します。
まず、問題の解決策が完璧ではないことは明らかですが、最良の解決策を開発する時間を節約するのに役立ちます。 アメリカの夕方で、7月4日(独立記念日)の週末です。
脆弱性と不注意による使用の可能性に関する詳細が公開フォーラムで見つかったため、更新を求めています。 そのため、企業やユーザーにプロジェクトを保護し、DoS攻撃がある場合はそれを緩和するツールを提供することを好みます。 指を交差させて座るよりも現実に会う方が良いからです。 特に休日が今あるアメリカでは、時間が尽きており、大規模なプロジェクトを展開する人々にとってそれはすべて悪夢です。 しかし、私たちは有用な情報でこの訴えを起こします。
短編小説:
Chris ReevesとTrevor Norrisは、UTF文字列をデコードするメソッドにV8のバグを発見しました。 エラーの本質は、バッファをUTF8に変換するときに、プロセスラインが「落ちる」可能性があることです。 アプリケーションに入力される大量の情報がこのメカニズムを使用するため、セキュリティの問題が発生します。 これは、ユーザーがアプリケーションを「殺す」ために特別に生成された行を送信できることを意味します。 バッファからUTF8文字列への変換関数の呼び出しと同様に、ほとんどのネットワークおよびファイルシステム操作が脆弱であることがわかっています。 NodeはこのデータをUTF8に変換しないため、HTTP(S)ヘッダーの解析は脆弱ではありません。 これは、HTTP(S)を介して脆弱性が悪用される方法を制限する小さな慰めですが、明らかにそれらはたくさんあります。 また、この脆弱性がTLSターミネーターとプロキシサーバー(forward-proxy)にどのように影響するかについての情報もまだありません。
パッチは正午の太平洋時間に予定されていました。 もちろん、パッチは時間通りに準備ができていませんでした。 V8、io.js、およびNode.jsについて、広範なテストと検証が終日行われました。 アセンブリにも時間がかかりましたが、このために遅れが生じました。 ヒョードル・インドゥトニーはすぐに訂正を行い、ベン・ヌルデュイス、トレバー・ノリス、ジュリアン・ギリー、ロッド・ワッグ、マイケル・ドーソン、ジェレミア・センクパイルがアップデートに一生懸命働きました。
[ ソース ]
UPD:修正してくれてありがとう。
node.jsおよびio.jsの重要なセキュリティ更新
All Articles