Node.js ‘Update’方法安全漏洞

漏洞信息详情

Node.js ‘Update’方法安全漏洞

• CNNVD编号：CNNVD-201208-187
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2012-2330
  
• 漏洞类型：
  
  
  输入验证错误
  
• 发布时间：
  
  2012-08-14
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2019-11-26
  
• 厂        商：
  
  nodejs
• 漏洞来源：

Node.js 0.6.17之前版本和0.7.8之前的0.7版本中的src/node_http_parser.cc中的Update方法中存在漏洞，该漏洞源于未正确校验字符串长度。远程攻击者可利用该漏洞通过0长度字符串获取敏感信息（请求头内容）并欺骗HTTP头连接器。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://blog.nodejs.org/2012/05/04/version-0-6-17-stable/

来源:MLIST

链接:http://www.openwall.com/lists/oss-security/2012/05/08/8

来源:CONFIRM

链接:https://github.com/joyent/node/commit/c9a231d

来源:CONFIRM

链接:https://support.f5.com/csp/article/K99038439?utm_source=f5support&utm_medium=RSS

来源:CONFIRM

链接:https://github.com/joyent/node/commit/7b3fb22

来源:MLIST

链接:http://www.openwall.com/lists/oss-security/2012/05/08/4

来源:SECUNIA

链接:http://secunia.com/advisories/49066

来源:CONFIRM

链接:http://blog.nodejs.org/2012/05/04/version-0-6-17-stable/